Sajber kriminalci su eskalirali svoje taktike iskorištavajući Google Apps Script, pouzdanu razvojnu platformu, za hostovanje sofisticiranih phishing kampanja koje zaobilaze tradicionalne sigurnosne mjere.
Ova nova prijetnja predstavlja značajnu promjenu u načinu na koji napadači koriste legitimnu infrastrukturu kako bi povećali kredibilitet svojih malicioznih operacija .
Najnovija kampanja cilja na nesuđene korisnike putem obmanjujućih e-poruka s fakturama koje izgledaju kao da potiču od legitimnih dobavljača opreme za osobe s invaliditetom i zdravstvene zaštite.
Ove pažljivo izrađene poruke sadrže minimalan sadržaj kako bi se izbjeglo aktiviranje filtera za neželjenu poštu, a istovremeno stvara hitnost koja podstiče primaoce na trenutnu akciju.
Napadači namjerno iskorištavaju inherentno povjerenje koje korisnici imaju u komunikacije koje se čine poslovno relevantnim i vremenski osjetljivim.
Analitičari Cofensea identifikovali su ovu sofisticiranu phishing operaciju putem svog Centra za odbranu od phishinga, otkrivajući kako su hakeri iskoristili Google-ovu infrastrukturu kao oružje kako bi stvorili iluziju autentičnosti.
Hostovanjem malicioznog sadržaja na domenama script.google.com, napadači efikasno zaobilaze mnoga sigurnosna rješenja koja obično stavljaju Google usluge na bijelu listu , što otkrivanje čini znatno težim i za automatizovane sisteme i za krajnje korisnike.
Uticaj kampanje proteže se dalje od jednostavne krađe akreditiva, jer uspješni napadi omogućavaju sajber kriminalcima pristup korporativnim e-mail sistemima i osjetljivim organizacijskim podacima.
Korištenje Google-ovog pouzdanog okruženja dramatično povećava vjerovatnoću uspješne kompromitacije, jer su korisnici uslovljeni da vjeruju sadržaju hostovanom na Google-u bez ikakve provjere.
Višestepeni mehanizam infekcije
Napad se odvija kroz pažljivo orkestrovani postupak osmišljen da maksimizira angažman žrtve, a istovremeno minimizira sumnju.
.webp)
Početna infekcija počinje kada primaoci kliknu na link “Prikaži fakturu” u lažnoj e-poruci, što ih preusmjerava na stranicu hostovanu putem Google Apps Scripta, koja prikazuje ono što izgleda kao legitimni interfejs za preuzimanje elektronskih faksova.
.webp)
Kritična tranzicija se dešava kada korisnici kliknu na dugme „Pregled“, što pokreće pokretanje lažnog prozora za prijavu koji oponaša autentične Microsoftove interfejse za autentifikaciju.
.webp)
Nakon što se unesu podaci za prijavu, PHP skripta odmah snima i prenosi podatke na servere koje kontroliše napadač prije nego što neprimjetno preusmjeri žrtve na legitimnu Microsoft stranicu za prijavu kako bi se održala obmana.
.webp)
Ovo konačno preusmjeravanje služi kao psihološka kamuflaža, ostavljajući žrtve nesvjesnima da su im akreditivi kompromitovani, a istovremeno napadačima pruža trenutni pristup korporativnim sistemima i osjetljivim informacijama.
Izvor: CyberSecurityNews