1. 程式人生 > >惡意電子郵件通過谷歌雲服務託管有效載荷

惡意電子郵件通過谷歌雲服務託管有效載荷

針對美國和英國銀行和金融公司員工的惡意電子郵件活動一直在濫用谷歌雲端儲存、傳播有效載荷。

週三,Menlo實驗室的研究人員表示,他們一直在關注BEC騙局,其重點是銀行和金融服務公司的員工。該活動遵循BEC騙局的典型做法,使用“量身定製”的社交工程和網路釣魚電子郵件,誘使潛在受害者點選惡意連結並下載惡意軟體負載。

這一活動自今年8月起開始運作,似乎專注於英國和美國的金融服務。然而,這個特定的方案包含有一個有趣的元素,研究人員說這個元素變得越來越普遍 :使用合法的,眾所周知的儲存服務來灌輸對網路釣魚訊息的進一步信任。在這種情況下,詐騙者正在使用谷歌雲端儲存,這是一種全球無數公司用於合法目的的服務。

Menlo Security表示,在這波特殊的網路釣魚浪潮中,追蹤到的每條資訊都發送了儲存在storage.googleapis.com網站上的惡意.zip或.gz檔案。不良行為者可能會利用這個廣受信任的領域來承載他們的有效負載,以作為一種繞過組織實施的安全控制或內建到商業安全產品中的方法。

這種特殊的技術被稱為“信譽劫持”,在部署惡意軟體時使用流行的合法服務來規避安全措施。據網路安全公司稱,在Alexa排名的前10萬個域名中,有4600個域名被發現參與了利用合法主機服務的釣魚計劃。為了使釣魚電子郵件不容易被發現,威脅行動者也可能選擇使用惡意連結而不是附件,因為許多電子郵件安全產品只有註冊在威脅儲存庫中,才會識別惡意連結。雖然這些地址被識別只是時間問題,但是隻需要一個小視窗便可成功地滲透到一個組織。

如果受害者的系統在有問題的BEC詐騙期間收到網路釣魚郵件,他們會看到使用包括transfer.vbs,匯款invoice.jar,Transfer invoice.vbs和Swift invoice.jar等名稱的附件,所有檔案都儲存在谷歌的雲服務上。

如果下載並執行這些檔案,則VBS指令碼和JAR檔案將充當Droppers,從Houdini惡意軟體系列中下載和執行特洛伊木馬。每個指令碼使用Base64編碼進行模糊處理,並與pm2bitcoin.com域上的命令和控制(C2)伺服器通訊。Houdini遠端訪問木馬(RAT)能夠通過網路和可移動驅動器橫向移動,並能夠從C2伺服器執行和下載額外的有效載荷,例如勒索軟體或加密劫持惡意軟體。

現在谷歌已將這些惡意軟體的有效負載移除,並表示:“我們會定期刪除Google雲端儲存上的惡意軟體,我們的自動系統會暫停本報告中提到的惡意軟體。此外,客戶還可以通過我們的網站報告可疑的濫用行為。”

但獲取端點訪問的新方法將繼續發展,金融服務公司可能會成為更復雜的惡意軟體和釣魚攻擊的目標。12月初,拯救兒童基金會曾遭遇BEC騙局損失100萬美元,聯邦調查局也曾對企業發出過提醒,在過去兩年中,執法部門記錄的BEC詐騙報告增加了136%,各行業公司已經因此損失了數十億美元。