網(wǎng)絡(luò)犯罪分子越來(lái)越多地利用諸如Google Cloud Services之類(lèi)的公共云服務(wù)來(lái)針對(duì)Office 365用戶進(jìn)行網(wǎng)絡(luò)釣魚(yú)活動(dòng)。

欺詐者通常會(huì)在多個(gè)云服務(wù)上托管釣魚(yú)網(wǎng)頁(yè)，并誘使受害者登陸這些網(wǎng)頁(yè)。

Check Point的研究人員發(fā)表了一份報(bào)告，詳細(xì)介紹了這個(gè)活動(dòng)，該活動(dòng)依賴于Google云端硬盤(pán)來(lái)托管惡意PDF文檔，然后利用Google的“ storage.googleapis [。] com”來(lái)托管網(wǎng)絡(luò)釣魚(yú)頁(yè)面。

通過(guò)使用Google Cloud或Microsoft Azure等著名的云服務(wù)，攻擊者可以輕松地繞過(guò)目標(biāo)組織設(shè)置的防御措施。

攻擊鏈的起點(diǎn)是一個(gè)PDF文檔，該文檔已上傳到Google云端硬盤(pán)，并包含一個(gè)指向網(wǎng)絡(luò)釣魚(yú)頁(yè)面的鏈接。

此廣告系列中使用的網(wǎng)絡(luò)釣魚(yú)頁(yè)面位于storage.googleapis[.]com/asharepoint-unwearied-439052791 / index.html上，旨在誘騙受害者提供其Office 365登錄名或組織電子郵件。

選擇其中一個(gè)登錄選項(xiàng)后，將向受害者顯示一個(gè)帶有Outlook登錄頁(yè)面的彈出窗口。一旦輸入憑據(jù)后，用戶將被重定向到一家由著名的全球咨詢公司發(fā)布的真實(shí)PDF報(bào)告。

在所有這些階段中，由于網(wǎng)絡(luò)釣魚(yú)頁(yè)面托管在Google Cloud Storage上，因此用戶不會(huì)覺(jué)得可疑。但是，通過(guò)查看網(wǎng)絡(luò)釣魚(yú)頁(yè)面的源代碼后發(fā)現(xiàn)，大多數(shù)資源是從屬于攻擊者的網(wǎng)站上加載的，prvtsmtp [。] com 報(bào)告表示。

根據(jù)研究人員的說(shuō)法，在最近的攻擊中，騙子們開(kāi)始利用谷歌云服務(wù)功能，該服務(wù)允許在云中運(yùn)行代碼。通過(guò)使用這種技術(shù)，攻擊者可以在不泄露域的情況下為網(wǎng)絡(luò)釣魚(yú)頁(yè)面加載資源。

“對(duì)prvtsmtp [。] com的調(diào)查顯示，它的解析為烏克蘭的IP地址(31.28.168 [。] 4)。與該網(wǎng)絡(luò)釣魚(yú)攻擊相關(guān)的許多其他域解析為相同的IP地址，或在同一網(wǎng)絡(luò)塊上的不同域。“

這使我們能夠洞悉攻擊者多年來(lái)的惡意活動(dòng)，并讓我們了解他們是如何發(fā)展他們的活動(dòng)和引進(jìn)新技術(shù)的。

例如，早在2018年，攻擊者曾經(jīng)直接在惡意網(wǎng)站上托管網(wǎng)絡(luò)釣魚(yú)頁(yè)面。后來(lái)，攻擊者利用Azure存儲(chǔ)來(lái)托管網(wǎng)絡(luò)釣魚(yú)頁(yè)面,在切換到谷歌云存儲(chǔ)之前.”

這一發(fā)現(xiàn)使專家可以將攻擊者的活動(dòng)追溯到2018年，當(dāng)時(shí)他們將釣魚(yú)網(wǎng)站直接托管在惡意網(wǎng)站上，然后再切換到Azure存儲(chǔ)，最后再轉(zhuǎn)移到谷歌云。

報(bào)告總結(jié)道：“這起事件彰顯了騙子和犯罪分子們?yōu)檠谏w其惡意的企圖而欺騙用戶的行為。”