- Os invasores abusaram da integração do aplicativo Google Cloud para enviar e-mails de phishing de domínios legítimos do Google
- Os e-mails imitavam notificações do Google, redirecionando as vítimas por meio de serviços não confiáveis
- Voltado para quase 3.200 empresas; a maioria das vítimas nos setores industrial, tecnológico e financeiro dos EUA
Os serviços legítimos do Google estão mais uma vez sendo abusados em ataques de phishing, enganando os alvos para que cliquem em links maliciosos e forneçam credenciais de login.
Num relatório recentemente divulgado, os investigadores de segurança cibernética da Check Point afirmam ter visto quase 10.000 e-mails enviados para 3.200 empresas em duas semanas.
Todas as mensagens foram enviadas da conta de e-mail noreply-application-integration@google.com, o que significa que os invasores estavam abusando do Google Cloud Application Integration.
Foco na fabricação dos EUA
É um serviço gerenciado do Google Cloud que conecta aplicativos, APIs e fontes de dados sem a necessidade de escrever código personalizado. Ele permite que as organizações automatizem fluxos de trabalho entre serviços em nuvem, aplicativos SaaS e sistemas internos usando conectores, gatilhos e ações pré-construídos. Os e-mails gerados por meio da integração de aplicativos do Google Cloud geralmente vêm de domínios e infraestrutura de propriedade do Google, o que significa que são enviados como parte de um fluxo de trabalho automatizado e podem herdar a forte reputação de remetente do Google.
Nas campanhas de phishing, os agentes de ameaças podem criar ou comprometer um projeto do Google Cloud e configurar um fluxo de integração que envia e-mails por meio de APIs do Gmail ou de outros serviços de e-mail conectados. Em outras palavras, trata-se de um simples abuso, e não de uma brecha na infraestrutura do Google.
Para tornar os e-mails ainda mais confiáveis, os invasores garantiram que as mensagens seguissem rigorosamente o estilo, idioma e formato de notificação do Google. Entre os atrativos mais comuns estão notificações sobre mensagens de voz pendentes ou compartilhamento de documento.
O link compartilhado nesses e-mails leva a storage.google.cloud.com, um serviço confiável do Google Cloud. No entanto, ele os redireciona para googleusercontent.com, onde eles precisam passar um CAPTCHA falso criado para bloquear scanners de segurança. Por fim, as vítimas são redirecionadas para uma página de login falsa da Microsoft, onde podem ser enganadas e fornecer as suas credenciais de login.
A maioria das vítimas estava nos Estados Unidos (48,6%), em empregos industriais/industriais (19,6%), tecnológicos/SaaS (18,9%) e financeiros/bancários/seguros (14,8%).
O Google disse à Check Point que “várias campanhas de phishing” que abusam da integração do aplicativo Google Cloud já foram bloqueadas.
“Mais importante ainda, esta atividade resultou do abuso de uma ferramenta de automação de fluxo de trabalho, não de uma vulnerabilidade na infraestrutura do Google. Embora tenhamos implementado salvaguardas para proteger os usuários contra este ataque específico, recomendamos permanecer cauteloso, pois atores mal-intencionados muitas vezes tentam falsificar tokens confiáveis. Estamos tomando medidas adicionais para evitar mais uso indevido”, concluiu o Google.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
