Ειδικοί ανακάλυψαν μια νέα Google Drive phishing campaign κατά την οποία οι επιτιθέμενοι ανέπτυξαν phishing web pages στο Google Drive.
Για ακόμη μια φορά οι phishers εκμεταλλεύονται την φήμη της Google και τρέχουν μια phishing campaign που έχει ως στόχο να κλέψει τα user Google credentials και να αποκτήσει έτσι πρόσβαση σε πολλαπλές υπηρεσίες που προσφέρονται από την εταιρεία.
Η νέα αυτή Ρhishing campaign ανακαλύφθηκε από τον ερευνητή ασφαλείας Aditya K. Sood από την Εlastica Cloud Threat Labs. Επίσης σε αυτήν την περίπτωση οι phishers χρησιμοποίησαν phishing pages που φιλοξενούνται στο Google Drive και εμφανίζουν ένα παρόμοιο με το Google log-in page το οποίο «σερβίρεται» σε HTTPs. Η χρήση των HTTPS κάνει τις σελίδες να φαίνονται περισσότερο ρεαλιστικές και λιγότερο ύποπτες στα θύματα.
Η phishing campaign αυτή έχει πολλές ομοιότητες με την καμπάνια που ανακαλύφθηκε από τους ερευνητές της Symantec τον Μάρτιο του 2014, όπου κακόβουλα emails στέλονταν από τους scammers έχοντας το ίδιο θέμα “Document,” και τα κλεμμένα credentials φιλοξενούνταν σε third–party server.
Η νέα καμπάνια εμφανίζεται –σύμφωνα με τη γώνμη των ερευνητών- ως η εξέλιξη της προηγούμενης, επειδή χρησιμοποιούνται ανεπτυγμένες τεχνικές κάλυψης σε αυτές τις phishing pages. Οι phishers χρησιμοποίησαν ένα JavaScript μηχανισμό κρυπτογράφησης για να συγκαλύψουν τον κώδικα στις σελίδες phishing.
Το σχέδιο της επίθεσης είναι αρκετά απλό, τα θύματα λαμβάνουν το απατηλό email από Gmail addresses τα οποία είναι πιθανό να έχουν εκτεθεί, και τους ζητάτε να κάνουν click στο ενσωματωμένο link που εμφανίζεται να φιλοξενείται σε έναν Google Drive folder. Η σελίδα phishing page μοιάζει με την φόρμα Google log-in, έπειτα εάν ο χρήστης εισάγει τα credentials του μεταφέρονται αυτόματα σε έναν εκτεθειμένο web server, ενώ ο ίδιος ο χρήστης ανακατευθύνεται σε ένα PDF document που φιλοξενείται σε άλλο server για να αποφευχθεί η γέννηση υποψίας.
Το destination URL όπου τα πιστοποιητικά των θυμάτων αποστέλλονται είναι
ishxxp://alarabia[.]my/images/Fresh/performact[.]php.
Οι phishers ενδιαφέρονται κυρίως να ρουφήξουν τα Google credentials των θυμάτων τους όπως εξηγείται στο post των ερευνητών.
Οι ερευνητές επίσης παρατήρησαν ότι τα phishing emails είναι ικανά να αποφύγουν το Google built-in μηχανισμό εντόπισης, πολύ πιθανόν επειδή αποστέλλονται από Gmail account και επειδή τα ενσωματωμένα link δείχνει ένα νόμιμο googledrive.com domain.
