研究人員發(fā)現(xiàn)，攻擊者正在利用Google Docs的評(píng)論功能，在針對(duì)Outlook用戶的網(wǎng)絡(luò)釣魚(yú)活動(dòng)中發(fā)送惡意鏈接。

網(wǎng)絡(luò)安全研究員Jeremy Fuchs在周四發(fā)表的一份報(bào)告中寫道，CheckPoint公司旗下的電子郵件協(xié)作和安全公司的研究人員在12月首次觀察到了大規(guī)模黑客利用谷歌文檔的評(píng)論功能進(jìn)行攻擊的趨勢(shì)。

Fuchs寫道，Avanan首次發(fā)現(xiàn)谷歌文檔、表單和幻燈片的評(píng)論功能可被用來(lái)發(fā)送垃圾郵件，但到目前為止，谷歌尚未對(duì)該問(wèn)題作出任何回應(yīng)。

他在報(bào)告中寫道，從那時(shí)起，這個(gè)已知的漏洞還沒(méi)有被谷歌完全關(guān)閉或進(jìn)行修復(fù)。

報(bào)告稱，到目前為止，攻擊者通過(guò)利用谷歌基于云端的文字處理應(yīng)用程序的功能，已經(jīng)攻擊了30個(gè)用戶的500多個(gè)收件箱，來(lái)自100多個(gè)不同的Gmail賬戶。

攻擊者針對(duì)谷歌文檔的用戶，在文檔中添加評(píng)論，用"@"提到目標(biāo)用戶，從而自動(dòng)向該人的收件箱發(fā)送一封郵件。Fuchs說(shuō)，這封來(lái)自谷歌的電子郵件包括文本和惡意鏈接。

報(bào)告中還包括了一個(gè)使用相同方法針對(duì)谷歌幻燈片(該套件的演示應(yīng)用程序)進(jìn)行攻擊的例子。

躲避檢測(cè)

Fuchs指出，有許多原因使受害者難以識(shí)別那些評(píng)論后發(fā)送給他們的電子郵件是惡意的。首先，發(fā)件人的電子郵件地址沒(méi)有顯示，只有攻擊者的名字，這就使得不法分子可以冒充合法的實(shí)體來(lái)攻擊受害者。

他寫道，這種攻擊也讓反垃圾郵件過(guò)濾器更難判斷郵件的安全性，甚至連最終的用戶也很難識(shí)別出來(lái)。

例如，黑客可以創(chuàng)建一個(gè)免費(fèi)的Gmail賬戶，如

他指出，評(píng)論區(qū)中的惡意攻擊很難被發(fā)現(xiàn)的，因?yàn)榻K端用戶并不知道評(píng)論是來(lái)自

Fuchs寫道，它只會(huì)說(shuō)'Bad Actor'在以下文件的評(píng)論中提到了你，如果Bad Actor是你的一個(gè)同事，它就會(huì)顯得很可信。

該電子郵件還包含了完整的評(píng)論內(nèi)容，以及鏈接和文本，這意味著受害者永遠(yuǎn)不需要去看文件，因?yàn)橛行лd荷就是電子郵件本身。

最后，攻擊者甚至不需要分享文件，只要在評(píng)論中提到這個(gè)人就足夠了。

Fuchs寫道："那些常見(jiàn)的郵件保護(hù)措施不會(huì)去標(biāo)記這些電子郵件，因?yàn)橥ㄖ侵苯觼?lái)自谷歌，而谷歌在大多數(shù)的'允許名單'上，并且受到用戶的信任。事實(shí)上，他說(shuō)高級(jí)威脅防護(hù)系統(tǒng)在其掃描中就已經(jīng)忽略了這個(gè)攻擊載體?！?/p>

谷歌文檔作為攻擊面

研究人員說(shuō)，這一攻擊活動(dòng)似乎在預(yù)示著利用谷歌協(xié)作應(yīng)用程序的評(píng)論功能進(jìn)行惡意攻擊的活動(dòng)在不斷增加，如果不加以制止，這些攻擊可能會(huì)繼續(xù)下去。

6月，Avanan研究人員首次發(fā)現(xiàn)威脅攻擊者在谷歌文件中進(jìn)行釣魚(yú)攻擊，文件中包含了旨在竊取受害者憑證的惡意鏈接。當(dāng)時(shí)，他們認(rèn)為這是對(duì)一個(gè)新的應(yīng)用程序的攻擊利用。

然后，如前所述，研究人員在10月首次發(fā)現(xiàn)威脅者利用評(píng)論功能，接著是12月進(jìn)行的大量攻擊。這些攻擊在1月3日?qǐng)?bào)告給了谷歌，內(nèi)容為”通過(guò)谷歌的內(nèi)置工具，利用由此產(chǎn)生的電子郵件進(jìn)行釣魚(yú)?！?/p>

Avanan建議用戶在點(diǎn)擊Google Docs評(píng)論之前，仔細(xì)檢查評(píng)論中的電子郵件地址，確保它是合法的。根據(jù)該報(bào)告，他們還建議用戶在審查評(píng)論時(shí)養(yǎng)成良好的安全習(xí)慣，仔細(xì)檢查鏈接和檢查語(yǔ)法。

Fuchs建議："如果不確定是否安全，請(qǐng)及時(shí)聯(lián)系合法的發(fā)件人，確認(rèn)確實(shí)是他們有意發(fā)送的。"

他補(bǔ)充說(shuō)，安全專業(yè)人員可以通過(guò)部署安全保護(hù)措施來(lái)防范針對(duì)文件共享和整個(gè)協(xié)作應(yīng)用程序套件的攻擊。

本文翻譯自：https://threatpost.com/attackers-exploit-flaw-google-docs-comments/177412/如若轉(zhuǎn)載，請(qǐng)注明原文地址。