Siber güvenlik araştırmacıları, saldırganların e-postaları dağıtmak için Google Cloud’un Uygulama Entegrasyon hizmetini kötüye kullanarak Google tarafından oluşturulan meşru mesajların kimliğine bürünmesini içeren bir kimlik avı kampanyasının ayrıntılarını açıkladı.
Check Point, etkinliğin, mesajları meşru bir e-posta adresinden (“noreply-application-integration@google) göndermek için Google Cloud altyapısıyla ilişkili güvenden yararlandığını söyledi.[.]com”) böylece geleneksel e-posta güvenlik filtrelerini aşabilir ve kullanıcıların gelen kutularına girme şanslarını artırabilirler.
Siber güvenlik şirketi, “E-postalar, sesli posta uyarıları ve dosya erişimi veya izin talepleri gibi rutin kurumsal bildirimleri taklit ederek bunların alıcılar için normal ve güvenilir görünmesini sağlıyor” dedi.
Saldırganların, Aralık 2025’te gözlemlenen 14 günlük süre boyunca ABD, Asya-Pasifik, Avrupa, Kanada ve Latin Amerika’da bulunan etkilenen kuruluşlara yaklaşık 3.200 müşteriyi hedef alan 9.394 kimlik avı e-postası gönderdiği gözlemlendi.
Kampanyanın merkezinde, kullanıcıların bir entegrasyondan özel e-posta bildirimleri göndermesine olanak tanıyan Uygulama Entegrasyonu’nun “E-posta Gönder” görevinin kötüye kullanılması yer alıyor. Google, destek belgelerinde göreve yalnızca en fazla 30 alıcının eklenebileceğini belirtiyor.
Bu e-postaların herhangi bir rastgele e-posta adresine gönderilecek şekilde yapılandırılabilmesi, tehdit aktörünün meşru bir otomasyon özelliğini kendi çıkarları doğrultusunda kötüye kullanma ve Google’a ait alanlardan e-posta göndererek DMARC ve SPF kontrollerini etkili bir şekilde atlatma becerisini göstermektedir.
Check Point, “Güveni daha da artırmak için e-postalar, tanıdık biçimlendirme ve dil de dahil olmak üzere Google bildirim stilini ve yapısını yakından takip etti” dedi. “Genellikle sesli posta mesajlarına gönderme yapıyor veya alıcıya, ‘Q4’ dosyasına erişim gibi paylaşılan bir dosya veya belgeye erişim izni verildiğini iddia ediyor ve alıcıları gömülü bağlantılara tıklayıp hemen harekete geçmeye teşvik ediyor.”
Saldırı zinciri, bir e-posta alıcısının Storage.cloud.google’da barındırılan bir bağlantıya tıklamasıyla başlayan çok aşamalı bir yeniden yönlendirme akışıdır.[.]com, başka bir güvenilir Google Cloud hizmeti. Bu çaba, kullanıcı şüphesini azaltmak ve ona bir meşruiyet cilası vermek için başka bir çaba olarak görülüyor.
Bağlantı daha sonra kullanıcıyı googleusercontent’ten sunulan içeriğe yönlendirir[.]com’a, otomatik tarayıcıların ve güvenlik araçlarının saldırı altyapısını incelemesini engelleyerek gerçek kullanıcıların geçişine olanak tanıyan sahte bir CAPTCHA veya görüntü tabanlı doğrulama sunuyor.
Doğrulama aşaması tamamlandıktan sonra kullanıcı, Microsoft’a ait olmayan bir alanda barındırılan sahte bir Microsoft oturum açma sayfasına yönlendirilir ve sonuçta kurbanlar tarafından girilen tüm kimlik bilgileri çalınır.
Bulgulara yanıt olarak Google, Google Cloud Uygulama Entegrasyonu içindeki e-posta bildirimi özelliğini kötüye kullanan kimlik avı çabalarını engelledi ve daha fazla kötüye kullanımı önlemek için daha fazla adım attığını ekledi.
Check Point’in analizi, kampanyanın öncelikle imalat, teknoloji, finans, profesyonel hizmetler ve perakende sektörlerini hedeflediğini ancak medya, eğitim, sağlık, enerji, hükümet, seyahat ve ulaşım gibi diğer sektörlerin de hedeflendiğini ortaya çıkardı.
“Bu sektörler genellikle otomatik bildirimlere, paylaşılan belgelere ve izne dayalı iş akışlarına güveniyor ve bu da Google markalı uyarıları özellikle ikna edici kılıyor” diye ekledi. “Bu kampanya, saldırganların, geleneksel kimlik sahtekarlığı olmadan geniş ölçekte kimlik avı dağıtmak için meşru bulut otomasyonu ve iş akışı özelliklerini nasıl kötüye kullanabileceğini vurguluyor.”