Uma prática que se tem tornado comum ultimamente entre os criminosos cibernéticos é a ocultação de ataques de phishing no Google Cloud Platform como forma de tornar muito mais difícil a identificação desse tipo de crime, alertam pesquisadores da Check Point Software. Segundo eles, os hackers enviam documentos PDF para o Google Drive, no qual está incluída uma página de phishing. A página solicita credenciais do Office365, levando a um relatório em PDF real publicado por uma renomada empresa global de consultoria. A página de phishing está hospedada no Google Cloud Storage, porém o código-fonte malicioso é rastreado para um endereço IP ucraniano.
De acordo com os pesquisadores da Check Point, ao usar recursos avançados em um serviço de armazenamento em nuvem conhecido, os hackers podem disfarçar melhor suas intenções maliciosas, além de não serem pegos pelas bandeiras vermelhas indicadas nas buscas, como domínios ou sites de aparência suspeita, sem um certificado HTTPS. Eles relatam um exemplo de hacker usando recursos avançados do GCP, o Google Functions, para enviar um ataque sofisticado de phishing.
Como funciona o ataque de phishing
Este ano, os pesquisadores se depararam com um ataque que começou com um documento PDF carregado no Google Drive, que incluía um link para uma página de phishing. A página de phishing, hospedada em storage.googleapis[.]com/asharepoint-unwearied-439052791/index.html, solicitava que o usuário fizesse o acesso ao e-mail do Office 365 ou da organização. Quando um usuário escolhe uma das opções, uma janela pop-up com a página de login do Outlook é exibida. Após a inserção das credenciais, o usuário é levado a um relatório em PDF real publicado por uma renomada empresa global de consultoria. Durante todos esses estágios, o usuário nunca fica desconfiado, pois a página de phishing está hospedada no Google Cloud Storage.
Veja isso
Phishing usa SurveyMonkey para roubar credenciais de usuários do Office 365
Campanha de phishing aproveitou SMTP da Oxford University
No entanto, a visualização do código-fonte da página de phishing revelou que a maioria dos recursos é carregada de um site pertencente aos hackers, o prvtsmtp[.]com. Eles começaram a usar o Google Cloud Functions, serviço que permite a execução de código na nuvem. Nesse caso, os recursos na página de phishing foram carregados de uma instância do Google Cloud Functions sem expor os domínios maliciosos dos atacantes.
A investigação de prvtsmtp[.]com mostrou que foi rastreado para um endereço IP ucraniano (31.28.168 [.] 4). Muitos outros domínios relacionados a esse ataque de phishing foram rastreados para o mesmo endereço IP ou para diferentes no mesmo bloco de rede.
“Os hackers estão invadindo os serviços de armazenamento em nuvem nos quais utilizamos e confiamos, tornando muito mais difícil identificar um ataque de phishing”, alerta Lotem Finkelsteen, diretor de Inteligência de Ameaças da Check Point.
Segundo ele, as bandeiras vermelhas tradicionais de um ataque de phishing, como domínios semelhantes ou sites sem certificados, não ajudarão muito quando entrarmos numa potencial “pandemia cibernética”. “Os usuários do Google Cloud Platform, mesmo os usuários da AWS e do Azure, devem tomar cuidado com essa tendência de rápido crescimento e aprender a se proteger. Devemos todos começar a pensar duas vezes nos arquivos que recebemos dos remetentes”, finaliza.