Инциденты

Мошенничество с использованием Google Docs

Фишинг — далеко не самая новая технология. Наоборот, такое ощущение, что она существовала всегда. Это показатель того, что она очень эффективна: казалось бы, вряд ли человек будет сообщать данные своего банковского счета просто потому, что его об этом спрашивают – и тем не менее, находятся такие, кто продолжает попадаться на удочку киберпреступников, использующих один из простейших методов мошенничества.

Однако осведомлённость пользователей и инструменты борьбы с фишингом усложняют задачу киберпреступников, которые пытаются заполучить наши денежки. Мы наблюдаем эти изменения в уменьшении количества спама. И это не единственная причина: для общения напрямую пользователи переходят на новые платформы, например, используют социальные сети

Сегодня я хотел бы продемонстрировать вам пример креативного способа обходить спам- и фишинговые фильтры.

Я уже рассказывал ранее о том, как киберпреступники используют существующие онлайн-сервисы для того чтобы снизить свои затраты и избежать детектирования. Сегодня я приведу пример того, как они используют для фишинга Google Docs.

Процедура стандартная: посылается электронное сообщение с вредоносной ссылкой. Однако ни один антифишинговый фильтр не принял бы сервис Google Docs за вредоносный:

Сообщение написано на плохом испанском языке. Перейдя по ссылке, попадаем на документ, размещенный на Google Docs (на сервере Google):

где жертву просят ввести имя пользователя, адрес электронной почты, пароль (дважды) и дату последнего входа. Цель киберпреступников не очень ясна, но, похоже, они делают все это с целью завладеть персональными данными для доступа к электронной почте.

Как я сказал, этот документ Doc создан и размещен на Google Docs. И если кто-то введет свои данные, они будут отправлены владельцу Doc.

Однако это только верхушка айсберга. Google Docs позволяет размещать и другой контент, например, исполняемые файлы различных форматов, что делает его очень удобным бесплатным хостинговым сервисом для вредоносного контента. В качестве бонуса – HTTPS-соединение по умолчанию, что в результате делает этот сервис еще более удобным для использования киберпреступниками.

Вы можете заметить, что Google предлагает опцию сообщить о вредоносном контенте, – что я и сделал.

Я полагал, что это метод на самом деле не сильно распространен. Он показывает, как можно обойти защитные системы, нелегально используя легитимные сервисы. Самое важное для киберпреступников – делать это незаметно и избегать детектирования, поэтому данный метод кажется более опасным для целевых атак.

Однако проверив данные, собранные коллегами, я понял, что уже не так уверен в своем предположении. Этот способ оказался намного более распространенным, чем я полагал ранее, поскольку он очень эффективен для обхода защитных средств, а с точки зрения жертвы выглядит как легитимный контент.

P.S.: Спасибо моим коллегам Fabio и Michael за помощь в создании этого поста!

Мошенничество с использованием Google Docs

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике