作者：佚名来源：|2020-07-22 16:30

收藏

分享

网络犯罪分子越来越多地利用诸如 Google Cloud Services 之类的公共云服务来针对 Office 365 用户进行网络钓鱼活动。

欺诈者通常会在多个云服务上托管钓鱼网页，并诱使受害者登陆这些网页。

Check Point 的研究人员发表了一份报告，详细介绍了这个活动，该活动依赖于 Google 云端硬盘来托管恶意 PDF 文档，然后利用 Google 的 storage.googleapis [ 。 ] com 来托管网络钓鱼页面。

通过使用 Google Cloud 或 Microsoft Azure 等著名的云服务，攻击者可以轻松地绕过目标组织设置的防御措施。

攻击链的起点是一个 PDF 文档，该文档已上传到 Google 云端硬盘，并包含一个指向网络钓鱼页面的链接。

此广告系列中使用的网络钓鱼页面位于 storage.googleapis [ . ] com/asharepoint-unwearied-439052791 / index.html 上，旨在诱骗受害者提供其 Office 365 登录名或组织电子邮件。

选择其中一个登录选项后，将向受害者显示一个带有 Outlook 登录页面的弹出窗口。一旦输入凭据后，用户将被重定向到一家由著名的全球咨询公司发布的真实 PDF 报告。

在所有这些阶段中，由于网络钓鱼页面托管在 Google Cloud Storage 上，因此用户不会觉得可疑。但是，通过查看网络钓鱼页面的源代码后发现，大多数资源是从属于攻击者的网站上加载的，prvtsmtp [ 。 ] com 报告表示。

根据研究人员的说法，在最近的攻击中，骗子们开始利用谷歌云服务功能，该服务允许在云中运行代码。通过使用这种技术，攻击者可以在不泄露域的情况下为网络钓鱼页面加载资源。

对 prvtsmtp [ 。 ] com 的调查显示，它的解析为乌克兰的 IP 地址 ( 31.28.168 [ 。 ] 4 ) 。与该网络钓鱼攻击相关的许多其他域解析为相同的 IP 地址，或在同一网络块上的不同域。

这使我们能够洞悉攻击者多年来的恶意活动，并让我们了解他们是如何发展他们的活动和引进新技术的。

例如，早在 2018 年，攻击者曾经直接在恶意网站上托管网络钓鱼页面。后来，攻击者利用 Azure 存储来托管网络钓鱼页面 , 在切换到谷歌云存储之前 .

这一发现使专家可以将攻击者的活动追溯到 2018 年，当时他们将钓鱼网站直接托管在恶意网站上，然后再切换到 Azure 存储，最后再转移到谷歌云。

报告总结道： 这起事件彰显了骗子和犯罪分子们为掩盖其恶意的企图而欺骗用户的行为。

【责任编辑：赵宁宁 TEL：（010）68476606】

点赞 0

黑客

分享 :

大家都在看猜你喜欢