Исследователи компании Check Point сообщили о вредоносной фишинговой кампании, организаторы которой нашли способ рассылки вредоносных сообщений с использованием официального домена корпорации Google @google.com. Эта уловка позволила злоумышленникам успешно обойти защитные системы сервисов электронной почты.
Изобретательные хакеры воспользовались тем, что Google Cloud предлагает функцию отправки сообщений Send Email, которая позволяет приложениям клиентов отправлять электронные письма произвольным получателям. Это полезный инструмент, в случаях, когда, например, IT-командам нужно получать системные оповещения, отчёты или другие уведомления. «Вы можете отправлять письма одному или нескольким получателям с настраиваемой темой и текстом сообщения», — говорится в документации Google. Однако мошенники смогли использовать эту функцию для создания и рассылки фишинговых писем, которые приходят с официального домена Google.
Вредоносные сообщения весьма убедительно повторяют стиль уведомлений Google и их форматирование. Сами письма имитируют обычные корпоративные уведомления — например, оповещения о новых сообщениях голосовой почты, запросы на доступ к файлам и т.д. Ссылки в письмах ведут на домен googleusercontent.com, однако затем по цепочке перенаправлений пользователь переадресуется на вредоносную страницу, имитирующую страницу авторизации Microsoft. Все введенные на ней учетные данные оказываются в руках организаторов атаки.
Как сообщает ресурс Cybernews, только за последние две недели злоумышленники разослали 9 394 фишинговых письма, адресованных примерно 3 200 получателям. Все сообщения были отправлены с легитимного адреса noreply-application-integration@google.com. Представители Google заверили, что уже приняли меры защиты от этой атаки, и подчеркнули, что она стала следствием злоупотребления инструментами автоматизации рабочих процессов, а не компрометации самой инфраструктуры Google. Тем не менее, приходится констатировать, что даже полная легитимность домена отправителя электронного письма больше не может считаться гарантией безопасности.