HomesecurityΠροσοχή! Νέα Google Drive phishing campaign κλέβει τους κωδικούς σας!

Προσοχή! Νέα Google Drive phishing campaign κλέβει τους κωδικούς σας!

Ειδικοί ανακάλυψαν μια νέα Google Drive phishing campaign κατά την οποία οι επιτιθέμενοι ανέπτυξαν phishing web pages στο Google Drive.

Για ακόμη μια φορά οι phishers εκμεταλλεύονται την φήμη της Google και τρέχουν μια phishing campaign που έχει ως στόχο να κλέψει τα user Google credentials και να αποκτήσει έτσι πρόσβαση σε πολλαπλές υπηρεσίες που προσφέρονται από την εταιρεία.

Η νέα αυτή Ρhishing campaign ανακαλύφθηκε από τον ερευνητή ασφαλείας Aditya K. Sood από την Εlastica Cloud Threat Labs. Επίσης σε αυτήν την περίπτωση οι phishers χρησιμοποίησαν phishing pages που φιλοξενούνται στο  Google Drive και εμφανίζουν ένα παρόμοιο με το Google log-in page το οποίο «σερβίρεται» σε HTTPs. Η χρήση των  HTTPS κάνει τις σελίδες να φαίνονται περισσότερο ρεαλιστικές και λιγότερο ύποπτες στα θύματα.

Η phishing campaign αυτή έχει πολλές ομοιότητες με την καμπάνια που ανακαλύφθηκε από τους ερευνητές της  Symantec τον Μάρτιο του 2014, όπου κακόβουλα emails στέλονταν από τους scammers έχοντας το ίδιο θέμα “Document,” και τα κλεμμένα credentials φιλοξενούνταν σε thirdparty server.

Προσοχή! Νέα Google Drive phishing campaign κλέβει τους κωδικούς σας! phishing campaign phishing campaign

Η νέα καμπάνια εμφανίζεται –σύμφωνα με τη γώνμη των ερευνητών- ως η εξέλιξη της προηγούμενης, επειδή χρησιμοποιούνται ανεπτυγμένες τεχνικές κάλυψης σε αυτές τις phishing pages. Οι phishers χρησιμοποίησαν ένα  JavaScript μηχανισμό κρυπτογράφησης για να συγκαλύψουν τον κώδικα στις σελίδες phishing.

Το σχέδιο της επίθεσης είναι αρκετά απλό, τα θύματα λαμβάνουν το απατηλό email από Gmail addresses τα οποία είναι πιθανό να έχουν εκτεθεί, και τους ζητάτε να κάνουν click στο ενσωματωμένο link που εμφανίζεται να φιλοξενείται σε έναν Google Drive folder. Η σελίδα phishing page μοιάζει με την φόρμα Google log-in, έπειτα εάν ο χρήστης εισάγει τα credentials του μεταφέρονται αυτόματα σε έναν εκτεθειμένο web server, ενώ ο ίδιος ο χρήστης ανακατευθύνεται σε ένα PDF document που φιλοξενείται σε άλλο server για να αποφευχθεί η γέννηση υποψίας.

Το destination URL όπου τα πιστοποιητικά των θυμάτων αποστέλλονται είναι

ishxxp://alarabia[.]my/images/Fresh/performact[.]php.

Οι phishers ενδιαφέρονται κυρίως να ρουφήξουν τα Google credentials των θυμάτων τους όπως εξηγείται στο post των ερευνητών.

Οι ερευνητές επίσης παρατήρησαν ότι τα phishing emails είναι ικανά να αποφύγουν το Google built-in μηχανισμό εντόπισης, πολύ πιθανόν επειδή αποστέλλονται από Gmail account και επειδή τα ενσωματωμένα link δείχνει ένα νόμιμο googledrive.com domain.

LEAVE A REPLY

Please enter your comment!
Please enter your name here

spot_img

LIVE NEWS