Check Point alerta sobre a tendência de hackers ocultarem ataques de phishing no Google Cloud Services

Check Point alerta sobre a tendência de hackers ocultarem ataques de phishing no Google Cloud Services

A Google Cloud Platform (GCP) tem sido cada vez mais usada para ataques de phishing. O alerta é de pesquisadores da empresa de segurança Check Point. Segundoeles, esta é uma tendência cada vez mais crescente, o que torna difícil as pessoas identificarem este tipo de ataque.

Os hackers enviam documentos PDF para o Google Drive, no qual está incluída uma página de phishing. A página de phishing solicita credenciais do Office365, levando a um relatório em PDF real publicado por uma renomada empresa global de consultoria. A página de phishing está hospedada no Google Cloud Storage, porém o código-fonte malicioso é rastreado para um endereço IP ucraniano.

De acordo com os pesquisadores da Check Point, ao usar recursos avançados em um serviço de armazenamento em nuvem conhecido, os hackers podem disfarçar melhor suas intenções maliciosas, além de não serem pegos pelas bandeiras vermelhas indicadas nas buscas, como domínios ou sites de aparência suspeita, sem um certificado HTTPS.

Check Point alerta sobre a tendência de hackers ocultarem ataques de phishing no Google Cloud Services

Como funciona o ataque de phishing no Google Cloud Platform

Este ano, os pesquisadores da Check Point se depararam com um ataque que começou com um documento PDF carregado no Google Drive, que incluía um link para uma página de phishing. A página de phishing, hospedada em storage.googleapis[.]com/asharepoint-unwearied-439052791/index.html, solicitava que o usuário fizesse o acesso ao e-mail do Office 365 ou da organização.

Quando um usuário escolhe uma das opções, uma janela pop-up com a página de login do Outlook é exibida. Após a inserção das credenciais, o usuário é levado a um relatório em PDF real publicado por uma renomada empresa global de consultoria. Durante todos esses estágios, o usuário nunca fica desconfiado, pois a página de phishing está hospedada no Google Cloud Storage.

No entanto, a visualização do código-fonte da página de phishing revelou que a maioria dos recursos é carregada de um site pertencente aos atacantes, o prvtsmtp[.]com. Os atacantes começaram a usar o Google Cloud Functions, um serviço que permite a execução de código na nuvem.

Nesse caso, os recursos na página de phishing foram carregados de uma instância do Google Cloud Functions sem expor os domínios maliciosos dos atacantes. A investigação de prvtsmtp[.]com mostrou que foi rastreado para um endereço IP ucraniano (31.28.168 [.] 4). Muitos outros domínios relacionados a esse ataque de phishing foram rastreados para o mesmo endereço IP ou para diferentes no mesmo bloco de rede.

Figura 1: Página de phishing solicitando que o usuário efetue login com suas credenciais do Office 365

Check Point alerta sobre a tendência de hackers ocultarem ataques de phishing no Google Cloud Services

Figura 2: Relatório em PDF publicado por uma renomada empresa global de consultoria

Check Point alerta sobre a tendência de hackers ocultarem ataques de phishing no Google Cloud Services

 

Figura 3: código malicioso da página de phishing

Check Point alerta sobre a tendência de hackers ocultarem ataques de phishing no Google Cloud Services

Os hackers estão invadindo os serviços de armazenamento em nuvem nos quais utilizamos e confiamos, tornando muito mais difícil identificar um ataque de phishing. As bandeiras vermelhas tradicionais de um ataque de phishing, como domínios semelhantes ou sites sem certificados, não nos ajudarão muito quando entrarmos em uma potencial ‘pandemia cibernética’. Os usuários do Google Cloud Platform, mesmo os usuários da AWS e do Azure, devem tomar cuidado com essa tendência de rápido crescimento e aprender a se proteger. Devemos todos começar a pensar duas vezes nos arquivos que recebemos dos remetentes, alerta Lotem Finkelsteen, diretor de Inteligência de Ameaças da Check Point.

Como permanecer protegido:

  • Cuidado com domínios semelhantes, erros de ortografia em e-mails ou sites e remetentes de e-mail desconhecidos.
  • Ter cautela com os arquivos recebidos por e-mail de remetentes desconhecidos, especialmente se eles solicitarem uma determinada ação que a pessoa normalmente não faria.
  • Verificar se as compras on-line de produtos são de uma fonte autêntica. Uma maneira de fazer isso é NÃO clicar em links promocionais em e-mails e, em vez disso, procurar no Google a loja online desejada e clicar no link na página de resultados do Google.
  • Cuidado com as ofertas “especiais” como “Uma cura exclusiva para o Coronavírus por US$ 150”, geralmente, não é uma oportunidade de compra confiável. Não há cura definitiva no momento (vacinas estão sendo testadas) para o Coronavírus e, mesmo que houvesse, isto definitivamente não seria oferecido por e-mail.
  • Certifique-se de não reutilizar senhas entre aplicativos e contas diferentes.

As organizações devem prevenir ataques de dia zero com arquiteturas de cibersegurança de ponta a ponta, bloquear sites de phishing enganosos e fornecer alertas sobre a reutilização de senhas em tempo real. E lembrar-se de que as caixas de correio dos usuários são a porta principal da sua organização. Os esquemas de phishing direcionado roubam US$ 300 bilhões das empresas todos os meses, então deve-se considerar também o uso de medidas de segurança de e-mail.