Инциденты

Мошенничество с использованием Google Docs

Фишинг — далеко не самая новая технология. Наоборот, такое ощущение, что она существовала всегда. Это показатель того, что она очень эффективна: казалось бы, вряд ли человек будет сообщать данные своего банковского счета просто потому, что его об этом спрашивают – и тем не менее, находятся такие, кто продолжает попадаться на удочку киберпреступников, использующих один из простейших методов мошенничества.

Однако осведомлённость пользователей и инструменты борьбы с фишингом усложняют задачу киберпреступников, которые пытаются заполучить наши денежки. Мы наблюдаем эти изменения в уменьшении количества спама. И это не единственная причина: для общения напрямую пользователи переходят на новые платформы, например, используют социальные сети

Сегодня я хотел бы продемонстрировать вам пример креативного способа обходить спам- и фишинговые фильтры.

Я уже рассказывал ранее о том, как киберпреступники используют существующие онлайн-сервисы для того чтобы снизить свои затраты и избежать детектирования. Сегодня я приведу пример того, как они используют для фишинга Google Docs.

Процедура стандартная: посылается электронное сообщение с вредоносной ссылкой. Однако ни один антифишинговый фильтр не принял бы сервис Google Docs за вредоносный:

Сообщение написано на плохом испанском языке. Перейдя по ссылке, попадаем на документ, размещенный на Google Docs (на сервере Google):

где жертву просят ввести имя пользователя, адрес электронной почты, пароль (дважды) и дату последнего входа. Цель киберпреступников не очень ясна, но, похоже, они делают все это с целью завладеть персональными данными для доступа к электронной почте.

Как я сказал, этот документ Doc создан и размещен на Google Docs. И если кто-то введет свои данные, они будут отправлены владельцу Doc.

Однако это только верхушка айсберга. Google Docs позволяет размещать и другой контент, например, исполняемые файлы различных форматов, что делает его очень удобным бесплатным хостинговым сервисом для вредоносного контента. В качестве бонуса – HTTPS-соединение по умолчанию, что в результате делает этот сервис еще более удобным для использования киберпреступниками.

Вы можете заметить, что Google предлагает опцию сообщить о вредоносном контенте, – что я и сделал.

Я полагал, что это метод на самом деле не сильно распространен. Он показывает, как можно обойти защитные системы, нелегально используя легитимные сервисы. Самое важное для киберпреступников – делать это незаметно и избегать детектирования, поэтому данный метод кажется более опасным для целевых атак.

Однако проверив данные, собранные коллегами, я понял, что уже не так уверен в своем предположении. Этот способ оказался намного более распространенным, чем я полагал ранее, поскольку он очень эффективен для обхода защитных средств, а с точки зрения жертвы выглядит как легитимный контент.

P.S.: Спасибо моим коллегам Fabio и Michael за помощь в создании этого поста!

Мошенничество с использованием Google Docs

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике