Phishing w chmurze. Uwaga na dysk Google i MS Azure!

Przeczytaj także: Phishing na Microsoft Teams. Na co uważać?

Narzędzia i metody stosowane przez cyberprzestępców nieustannie są rozwijane. Jeden z ostatnich raportów firmy Check Point wskazuje np., że hakerzy, w różnego rodzaju próbach infekowania komputerów, nader chętnie korzystają z popularności usług w chmurze.

Okazuje się, że na tej metodzie w ostatnim czasie bazować zaczął także phishing. Obserwacje prowadzone przez badaczy cyberbezpieczeństwa wskazują, że do hostowania stron wyłudzających dane wykorzystywane są usługi przechowywania w chmurze. Jak wygląda taki phishing?

Jak pisze Check Point, jednymi ze znaków ostrzegawczych, na które zwracają uwagę przeszkoleni użytkownicy podczas ataku phishingowego, są podejrzanie wyglądające domeny (np. z błędem w nazwie) lub strony internetowe bez certyfikatu HTTPS, czyli popularnej kłódki wyświetlającej się po lewej stronie paska adresu przeglądarki. Jednak dzięki korzystaniu z dobrze znanych usług w chmurze publicznej, takich jak Google Cloud lub Microsoft Azure do publikowania swoich stron phishingowych, atakujący mogą z łatwością ukryć najłatwiej dostrzegalne oznaki ataku, jednocześnie zwiększając swoje szanse na usidlenie nawet zorientowanych w cyberbezpieczeństwie ofiar.

Taka właśnie była strategia hakerów, w wykrytej przez firmę Check Point kampanii, przeprowadzonej styczniu br. Atak rozpoczął się od dokumentu PDF, który został przesłany na Dysk Google i zawierał łącze do strony phishingowej:

Strona phishingowa, znajdująca się na dysku Google, prosiła użytkownika o zalogowanie się przy użyciu konta Office 365 lub adresu e-mail organizacji. Po wprowadzeniu danych uwierzytelniających użytkownik zostawał przekierowany do prawdziwego raportu PDF opublikowanego przez renomowaną globalną firmę konsultingową. Tymczasem jego dane logowania właśnie znalazły się w posiadaniu przestępców…

Na żadnym z etapów użytkownik mógł nie podejrzewać złych zamiarów, ponieważ strona phishingowa znajdowała się w Google Cloud Storage. Dopiero wyświetlenie jej kodu źródłowego ujawniło, że większość zasobów jest ładowana z witryny internetowej należącej do atakujących.

W tego typu atakach nawet obeznany z zagrożeniami użytkownik może przeoczyć zagrożenie. Atakujący zaczęli bowiem korzystać z Google Cloud Functions, usługi umożliwiającej uruchamianie kodu bezpośrednio w chmurze. W tym przypadku zasoby na stronie phishingowej zostały załadowane z instancji Google Cloud Functions bez ujawniania złośliwych domen atakujących.

Wspomniany projekt hakerski został zatrzymany przez Google’a w styczniu 2020. Z powodu nadużyć phishingowych, Google zablokowało adres URL, a także wszystkie adresy URL powiązane z kampanią.

Incydent ten doskonale ukazuje coraz to większe wysiłki podejmowane przez oszustów i przestępców, aby ukryć swoje złośliwe zamiary.