Siber suçlular, geleneksel güvenlik önlemlerini atlayan sofistike kimlik avı kampanyalarına ev sahipliği yapmak için güvenilir bir geliştirme platformu olan Google Apps Script’ini kullanarak taktiklerini artırdılar.
Bu ortaya çıkan tehdit, saldırganların kötü niyetli operasyonlarının güvenilirliğini artırmak için meşru altyapıdan nasıl yararlandıklarında önemli bir değişimi temsil ediyor.
En son kampanya, meşru sakatlık ve sağlık ekipmanı sağlayıcılarından kaynaklanan aldatıcı fatura e -postaları aracılığıyla şüphesiz kullanıcıları hedefliyor.
.png
)
Dikkatlice hazırlanmış bu mesajlar, alıcılardan anında harekete geçen aciliyet yaratırken spam filtrelerini tetiklemekten kaçınmak için minimal içerik içerir.
Saldırganlar, kullanıcıların işle ilgili ve zamana duyarlı görünen iletişimde yer aldıkları güvenden yararlanıyor.
CoFense analistleri, bu sofistike kimlik avı operasyonunu kimlik avı savunma merkezleri aracılığıyla tanımladılar ve tehdit aktörlerinin bir özgünlük yanılsaması yaratmak için Google’ın kendi altyapısını nasıl silahlandırdığını ortaya koydu.
Script.google.com alan adlarında kötü niyetli içerik barındırarak, saldırganlar tipik olarak beyaz liste Google hizmetlerini etkili bir şekilde atlatarak, algılamayı hem otomatik sistemler hem de son kullanıcılar için önemli ölçüde daha zorlayıcı hale getirir.
Başarılı saldırılar siber suçlulara kurumsal e -posta sistemlerine ve hassas organizasyonel verilere erişim sağladığı için kampanyanın etkisi basit kimlik hırsızlığının ötesine uzanıyor.
Google’ın güvenilir ortamının kullanımı, kullanıcılar google tarafından barındırılan içeriğe inceleme yapmadan güvenmek için şartlandırıldığından, başarılı uzlaşma olasılığını önemli ölçüde artırır.
Çok aşamalı enfeksiyon mekanizması
Saldırı, şüpheyi en aza indirirken mağdur katılımını en üst düzeye çıkarmak için tasarlanmış dikkatli bir şekilde düzenlenmiş bir dizi ile ortaya çıkıyor.
.webp)
İlk enfeksiyon, alıcılar, sahte e-postadaki “Fatura Görüntüle” bağlantısını tıkladığında başlar ve bunları meşru bir elektronik faks indirme arayüzü gibi görünen bir Google Apps komut dosyası barındırma sayfasına yönlendirir.
.webp)
Kritik geçiş, kullanıcılar “Önizleme” düğmesine tıkladığında ve otantik Microsoft kimlik doğrulama arabirimlerini taklit eden hileli bir oturum açma penceresinin dağıtımını tetiklediğinde gerçekleşir.
.webp)
Kimlik bilgileri girildikten sonra, bir PHP komut dosyası, aldatmayı korumak için kurbanları meşru bir Microsoft giriş sayfasına sorunsuz bir şekilde yönlendirmeden önce verileri saldırgan kontrollü sunuculara yakalar ve iletir.
.webp)
Bu son yönlendirme, psikolojik kamuflaj görevi görür ve kurbanları, saldırganlara kurumsal sistemlere ve hassas bilgilere derhal erişim sağlarken kimlik bilgilerinin tehlikeye atıldığından habersizdir.
9 yılını kutlayın. Run! Tam gücünün kilidini açmak TI Arama Planı (100/300/600/1.000+ arama istekleri) ve istek kotanız iki katına çıkacaktır.