freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

黑客利用谷歌云窃取用户Office365的信息
2020-07-22 16:22:37

网络犯罪分子越来越多地利用诸如Google Cloud Services之类的公共云服务来针对Office 365用户进行网络钓鱼活动。

欺诈者通常会在多个云服务上托管钓鱼网页,并诱使受害者登陆这些网页。

Check Point的研究人员发表了一份报告,详细介绍了这个活动,该活动依赖于Google云端硬盘来托管恶意PDF文档,然后利用Google的“ storage.googleapis [。] com”来托管网络钓鱼页面。

通过使用Google Cloud或Microsoft Azure等著名的云服务,攻击者可以轻松地绕过目标组织设置的防御措施。

攻击链的起点是一个PDF文档,该文档已上传到Google云端硬盘,并包含一个指向网络钓鱼页面的链接。

此广告系列中使用的网络钓鱼页面位于storage.googleapis[.]com/asharepoint-unwearied-439052791 / index.html上,旨在诱骗受害者提供其Office 365登录名或组织电子邮件。

选择其中一个登录选项后,将向受害者显示一个带有Outlook登录页面的弹出窗口。一旦输入凭据后,用户将被重定向到一家由著名的全球咨询公司发布的真实PDF报告。

在所有这些阶段中,由于网络钓鱼页面托管在Google Cloud Storage上,因此用户不会觉得可疑。但是,通过查看网络钓鱼页面的源代码后发现,大多数资源是从属于攻击者的网站上加载的,prvtsmtp [。] com 报告表示。1595404583.png!small

根据研究人员的说法,在最近的攻击中,骗子们开始利用谷歌云服务功能,该服务允许在云中运行代码。通过使用这种技术,攻击者可以在不泄露域的情况下为网络钓鱼页面加载资源。

“对prvtsmtp [。] com的调查显示,它的解析为乌克兰的IP地址(31.28.168 [。] 4)。与该网络钓鱼攻击相关的许多其他域解析为相同的IP地址,或在同一网络块上的不同域。“

这使我们能够洞悉攻击者多年来的恶意活动,并让我们了解他们是如何发展他们的活动和引进新技术的。

例如,早在2018年,攻击者曾经直接在恶意网站上托管网络钓鱼页面。后来,在切换到谷歌云存储之前,攻击者利用Azure存储来托管网络钓鱼页面。”

报告总结道:“这起事件彰显了骗子和犯罪分子们为掩盖其恶意的企图而欺骗用户的行为。”

参考来源

securityaffairs

本文作者:, 转载请注明来自FreeBuf.COM

# 诈骗 # 钓鱼网站 # office365
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑