Google’ın Appsheet platformunu taklit eden hileli e -postalar aracılığıyla Google çalışma alanı kuruluşlarını hedefleyen sofistike bir kimlik avı kampanyası ortaya çıktı.
Saldırı, siber suçluların geleneksel e -posta güvenlik önlemlerini atlamak ve kullanıcı kimlik bilgilerini çalmak için nasıl meşru bulut hizmetlerinden yararlandığını göstermektedir.
Eylül 2025’te keşfedilen bu kampanya, sosyal mühendislik taktiklerinde önemli bir artışı temsil ederek Google’ın kodsuz uygulama geliştirme platformunda yer alan doğal güven kuruluşlarından yararlanıyor.
Kötü niyetli kampanya, Appsheet’in yaygın işletme evlat edinme ve Google çalışma alanı altyapısı ile derin entegrasyondan yararlanır.
Meşru appsheet iletişimleri olarak maskelenerek, saldırganlar, şüpheli alıcılara ikna edici ticari marka ihlali bildirimleri sunarken e -posta kimlik doğrulama protokollerini başarıyla atlatırlar.
Saldırının etkinliği, otantik Google altyapısını kötüye kullanmasından kaynaklanıyor ve tespiti geleneksel güvenlik sistemleri için olağanüstü zorlaştırıyor.
Bu kimlik avı operasyonu, güvenlik araştırmacılarının Mart 2025’ten bu yana benzer kampanyaların Meta ve PayPal hizmetlerini taklit etmek için başvuru sayfasını kullandığı bir meşru hizmet kötüye kullanımı modelini takip ediyor.
Raven analistleri, mevcut ticari marka ihlali kampanyasını bu önceki taktiklerin bir evrimi olarak tanımladı ve saldırganların operasyonel güvenliği korurken kimlik bilgisi hasat başarı oranlarını en üst düzeye çıkarma yaklaşımlarını nasıl geliştirdiklerini belirtti.
Kampanyanın en çok ilgili yönü, teknik sofistike ve kimlik doğrulama baypas yeteneklerinde yatmaktadır.
Meyveden veya sahte alanlara dayanan geleneksel kimlik avı saldırılarının aksine, bu işlem Google’ın kötü niyetli içerik sunmak için meşru e -posta altyapısını kullanır.
Mesajlar [email protected]mükemmel gönderen itibar puanlarını korurken mükemmel SPF, DKIM ve DMARC kimlik doğrulamasını sağlamak.
Teknik Altyapı ve Teslimat Mekanizması
Saldırı metodolojisi, birden fazla potansiyel vektör aracılığıyla Appsheet’in meşru e -posta işlevselliğini kullanır.
Saldırganlar ya platformdaki mevcut kullanıcı hesaplarından ödün veriyor ya da Google’ın altyapısı tarafından otantik bir şekilde oluşturulan mesajlar hazırlamak için hizmetin bildirim sistemlerini kötüye kullanıyor.
.webp)
Kimlik avı e -postaları, acil kullanıcı eylemini yönetmek için tasarlanmış acil yasal uyumluluk gereksinimleriyle tamamlanan ticari marka icra bildirimlerini taklit eden profesyonel olarak biçimlendirilmiş içerik içerir.
Kampanyanın başarısı için kritik olan, şüpheli URL kısaltmalarını, özellikle de kurbanları kimlik bilgisi hasat sitelerine yönlendiren Goo.SU alan adlarını kullanmasıdır.
Bu kısaltılmış bağlantılar, kullanıcı etkileşimi için zorlayıcı bir bahane oluşturarak, başka türlü meşru görünen yasal bildirimlere gömülür.
Saldırganlar, kimlik avı altyapılarını Vercel gibi saygın platformlarda stratejik olarak ağırlıyor ve operasyonun güvenilirliğini ve kaçınma yeteneklerini daha da artırıyor.
Algılama zorlayıcıdır, çünkü e -postalar tüm geleneksel kimlik doğrulama kontrollerini geçerken, rutin appsheet iletişimine aşina olan alıcılar için bağlamsal olarak uygun görünür.
.webp)
Teknik meşruiyet ve sosyal mühendislik karmaşıklığının bu kombinasyonu, yalnızca kimlik doğrulama protokollerine güvenmek yerine gönderen-içerik ilişkilerini analiz eden bağlama duyarlı e-posta güvenliği çözümlerine acil ihtiyacı vurgulamaktadır.
Kampanya, meşru bulut hizmetlerinin nasıl silahlandırılmış saldırı vektörleri haline gelebileceğini ve kuruluşları kurumsal ortamlarda güvenilir iletişim hakkındaki temel varsayımları yeniden gözden geçirmeye zorluyor.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.