Антивирус не пикнул, потому что фишинг пришёл из доверенного облака.
Фото:depositphotos.com
Злоумышленники нашли новый способ обхода защитных систем, размещая фишинговые страницы на платформе Google Apps Script. Это даёт им возможность маскировать вредоносные сайты под легитимные и собирать учётные данные пользователей без подозрений со стороны антивирусов и систем фильтрации трафика.
Как сообщают специалисты Cofense, злоумышленники рассылают электронные письма с якобы счетами на оплату или налоговыми уведомлениями. В теле письма содержится ссылка, ведущая на веб-страницу, размещённую в домене Google — script.google.com, что позволяет пройти через большинство систем фильтрации без тревожных сигналов. Основная цель — заставить пользователя ввести логин и пароль на поддельной странице входа, визуально неотличимой от настоящей.
Google Apps Script — это облачная платформа, основанная на языке JavaScript, позволяющая автоматизировать процессы и расширять возможности продуктов Google Workspace, включая Google Sheets, Docs, Drive и Gmail. Одной из особенностей платформы является возможность публикации собственных скриптов в виде публичных веб-приложений, которым присваивается домен Google. Именно это используют атакующие, создавая фальшивые формы входа и встраивая их в доверенную инфраструктуру Google.
После ввода данных пользователю демонстрируется редирект на настоящий сервис, что создаёт иллюзию легитимности и даёт мошенникам время воспользоваться полученными учётными записями. Для вывода данных используется скрытый запрос, незаметный для пользователя.
Опасность такого подхода заключается в том, что злоумышленники получают гибкий инструмент управления атаками — они могут в любой момент поменять содержимое скрипта, не меняя ссылки. Это позволяет легко адаптироваться под разные приманки и не запускать повторные фишинговые кампании.
Эксперты рекомендуют компаниям ужесточить проверку ссылок на домены облачных сервисов, включая Google Apps Script, и при возможности ограничить или заблокировать доступ к ним. Это особенно важно для организаций, где в обращении находятся чувствительные данные и корпоративные аккаунты. Компания Google уже предпринимала меры для борьбы с фишинговыми атаками в своих сервисах.
На момент публикации Google не предоставила комментариев относительно возможных мер защиты от подобного рода злоупотреблений.
Источник securitylab.ru