针对美国和英国银行和金融公司员工的恶意电子邮件活动一直在滥用谷歌云存储、传播有效载荷。
周三,Menlo实验室的研究人员表示,他们一直在关注BEC骗局,其重点是银行和金融服务公司的员工。该活动遵循BEC骗局的典型做法,使用“量身定制”的社交工程和网络钓鱼电子邮件,诱使潜在受害者点击恶意链接并下载恶意软件负载。
这一活动自今年8月起开始运作,似乎专注于英国和美国的金融服务。然而,这个特定的方案包含有一个有趣的元素,研究人员说这个元素变得越来越普遍 :使用合法的,众所周知的存储服务来灌输对网络钓鱼消息的进一步信任。在这种情况下,诈骗者正在使用谷歌云存储,这是一种全球无数公司用于合法目的的服务。
Menlo Security表示,在这波特殊的网络钓鱼浪潮中,追踪到的每条信息都发送了存储在storage.googleapis.com网站上的恶意.zip或.gz文件。不良行为者可能会利用这个广受信任的领域来承载他们的有效负载,以作为一种绕过组织实施的安全控制或内置到商业安全产品中的方法。
这种特殊的技术被称为“信誉劫持”,在部署恶意软件时使用流行的合法服务来规避安全措施。据网络安全公司称,在Alexa排名的前10万个域名中,有4600个域名被发现参与了利用合法主机服务的钓鱼计划。为了使钓鱼电子邮件不容易被发现,威胁行动者也可能选择使用恶意链接而不是附件,因为许多电子邮件安全产品只有注册在威胁存储库中,才会识别恶意链接。虽然这些地址被识别只是时间问题,但是只需要一个小窗口便可成功地渗透到一个组织。
如果受害者的系统在有问题的BEC诈骗期间收到网络钓鱼邮件,他们会看到使用包括transfer.vbs,汇款invoice.jar,Transfer invoice.vbs和Swift invoice.jar等名称的附件,所有文件都存储在谷歌的云服务上。
如果下载并执行这些文件,则VBS脚本和JAR文件将充当Droppers,从Houdini恶意软件系列中下载和执行特洛伊木马。每个脚本使用Base64编码进行模糊处理,并与pm2bitcoin.com域上的命令和控制(C2)服务器通信。Houdini远程访问木马(RAT)能够通过网络和可移动驱动器横向移动,并能够从C2服务器执行和下载额外的有效载荷,例如勒索软件或加密劫持恶意软件。
现在谷歌已将这些恶意软件的有效负载移除,并表示:“我们会定期删除Google云端存储上的恶意软件,我们的自动系统会暂停本报告中提到的恶意软件。此外,客户还可以通过我们的网站报告可疑的滥用行为。”
但获取端点访问的新方法将继续发展,金融服务公司可能会成为更复杂的恶意软件和钓鱼攻击的目标。12月初,拯救儿童基金会曾遭遇BEC骗局损失100万美元,联邦调查局也曾对企业发出过提醒,在过去两年中,执法部门记录的BEC诈骗报告增加了136%,各行业公司已经因此损失了数十亿美元。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。