网络犯罪分子越来越多地利用诸如Google Cloud Services之类的公共云服务来针对Office 365用户进行网络钓鱼活动。
欺诈者通常会在多个云服务上托管钓鱼网页,并诱使受害者登陆这些网页。
Check Point的研究人员发表了一份报告,详细介绍了这个活动,该活动依赖于Google云端硬盘来托管恶意PDF文档,然后利用Google的“ storage.googleapis [。] com”来托管网络钓鱼页面。
通过使用Google Cloud或Microsoft Azure等著名的云服务,攻击者可以轻松地绕过目标组织设置的防御措施。
攻击链的起点是一个PDF文档,该文档已上传到Google云端硬盘,并包含一个指向网络钓鱼页面的链接。
此广告系列中使用的网络钓鱼页面位于storage.googleapis[.]com/asharepoint-unwearied-439052791 / index.html上,旨在诱骗受害者提供其Office 365登录名或组织电子邮件。
选择其中一个登录选项后,将向受害者显示一个带有Outlook登录页面的弹出窗口。一旦输入凭据后,用户将被重定向到一家由著名的全球咨询公司发布的真实PDF报告。
在所有这些阶段中,由于网络钓鱼页面托管在Google Cloud Storage上,因此用户不会觉得可疑。但是,通过查看网络钓鱼页面的源代码后发现,大多数资源是从属于攻击者的网站上加载的,prvtsmtp [。] com 报告表示。
根据研究人员的说法,在最近的攻击中,骗子们开始利用谷歌云服务功能,该服务允许在云中运行代码。通过使用这种技术,攻击者可以在不泄露域的情况下为网络钓鱼页面加载资源。
“对prvtsmtp [。] com的调查显示,它的解析为乌克兰的IP地址(31.28.168 [。] 4)。与该网络钓鱼攻击相关的许多其他域解析为相同的IP地址,或在同一网络块上的不同域。“
这使我们能够洞悉攻击者多年来的恶意活动,并让我们了解他们是如何发展他们的活动和引进新技术的。
例如,早在2018年,攻击者曾经直接在恶意网站上托管网络钓鱼页面。后来,攻击者利用Azure存储来托管网络钓鱼页面,在切换到谷歌云存储之前.”
这一发现使专家可以将攻击者的活动追溯到2018年,当时他们将钓鱼网站直接托管在恶意网站上,然后再切换到Azure存储,最后再转移到谷歌云。
报告总结道:“这起事件彰显了骗子和犯罪分子们为掩盖其恶意的企图而欺骗用户的行为。”