Atacantes, cuyo objetivo principal es robar varias credenciales, recurren cada vez más a servicios de nube pública para alojar archivos señuelo y páginas de phishing. Incluso los servicios de Google se utilizan ahora para el phishing.
Expertos en puntos de control advertir que a principios de este año descubrieron una campaña, que abusaba de los servicios en la nube de Google. Los estafadores han desarrollado un esquema interesante que incluye varios elementos legítimos para ocultar el robo de credenciales. Esta táctica hace que sea mucho más difícil detectar ataques.
El ataque comienza con los atacantes subiendo un documento de PDF malicioso a Google Drive. Este documento contiene un enlace a una página de phishing (pretendidamente, El contenido está disponible solo a través de SharePoint y, por lo tanto, debe seguir el enlace).
La página de phishing en sí fue alojada en Storage.googleapis[.]сom/asharepoint-nowied-439052791/index.html. Allá, Se le solicitó al usuario que iniciara sesión con Office 365 o correo electrónico corporativo. Cuando la víctima seleccionó una de las opciones de inicio de sesión, Apareció una ventana emergente de inicio de sesión de Outlook.
Curiosamente, Después de ingresar a las credenciales, El usuario realmente recibió un informe PDF de una empresa internacional de buena reputación. Los investigadores escriben que es poco probable que las víctimas noten tal fraude., Porque las páginas están cargadas de fuentes supuestamente legítimas y no despiertan sospecha.
Solo un vistazo al código fuente de la página de phishing muestra que la mayoría de los recursos se descargan de los cibercriminales’ sitio prvtsmtp[.]bien.
«Resultó que los atacantes están utilizando el servicio de funciones de Google Cloud, que les permite ejecutar código en la nube, y los recursos en la página de phishing se cargan desde las funciones de Google Cloud sin exponer a los atacantes’ propios dominios maliciosos», - Escriben expertos en punto de verificación.
La investigación ha demostrado que PRVTSMTP[.]Compárese y muchos otros dominios asociados con este ataque de phishing se resuelven a la misma dirección IP (ucranio 31.28.168[.]4) y otras direcciones en este bloque.
Esto permitió a los expertos rastrear la actividad de estos atacantes para volver a 2018, Cuando actuaron de manera similar: primero, Colocaron páginas de phishing directamente en un sitio malicioso., y luego cambió a Azure.
“Los piratas informáticos se sienten atraídos por los servicios de almacenamiento en la nube que a menudo usamos y confiamos, haciendo que sea mucho más difícil detectar ataques de phishing. "Banderas rojas" tradicionales de ataques de phishing, tales como dominios o sitios web similares sin certificados, ya no nos ayudará mucho ", - dijo Lotem Finkelsteen, un analista de amenazas líder en el punto de control.
Check Point recomienda que los usuarios de la plataforma de Google Cloud, incluso usuarios de AWS y Azure, Debería tener mucho cuidado con esta tendencia.
Permítanme recordarle que Gitlab verificó a sus empleados: en phishing obtuvo cada quinto.
Los pasos prácticos que todos podemos tomar para mantenerse protegidos contra estos ataques oportunistas son:
- Tenga cuidado con los dominios parecidos, Errores de ortografía en correos electrónicos o sitios web, y remitentes de correo electrónico desconocidos.
- Tenga cuidado con los archivos recibidos por correo electrónico de los remitentes desconocidos, Especialmente si solicitan una determinada acción que generalmente no haría.
- Asegúrese de ordenar bienes desde una fuente auténtica. Una forma de hacerlo es no hacer clic en enlaces promocionales en correos electrónicos, y en cambio, Google su minorista deseado y haga clic en el enlace desde la página de resultados de Google.
- Tenga cuidado con las ofertas "especiales". "Una cura exclusiva para el coronavirus por $ 150" generalmente no es una oportunidad de compra confiable o confiable.
Asegúrese de no reutilizar las contraseñas entre diferentes aplicaciones.
