Phishing-Kampagne nutzt Googles Cloud-Dienste zum Diebstahl von Office-365-Anmeldedaten

Die Hacker hosten auf Google Drive eine speziell gestaltete PDF-Datei. Die Google Cloud stellt für den Angriff auch eine Phishing-Website bereit. Ähnliche Attacken missbrauchen auch Cloud-Dienste anderer Anbieter wie Microsoft Azur.

Eine aktuelle Phishing-Kampagne hostet auf Googles Cloud-Diensten speziell gestaltete Dokumente, mit denen Cyberkriminelle die Anmeldedaten für Office-365-Konten abgreifen wollen. Sie folgen damit dem Trend, gefälschte Dokumente und auch Websites auf öffentlichen Cloud-Servern abzulegen, statt sie eigenen oder angemieteten Servern vorzuhalten.

Phishing (Bild: Shutterstock)Forscher von Check Point haben laut Bleeping Computer nun einen Angriff beschrieben, bei dem sich die Hacker auf Google Drive verließen, um ein schädliches PDF-Dokument zu verbreiten. Ihre Phishing-Website hosteten sie zudem auf Googles „storage.googleapis.com“.

Die PDF-Datei wurde so gestaltet, als würde sie als Zugang zu Inhalten dienen, die auf Microsofts SharePoint-Plattform verfügbar waren. Ein Opfer, dass auf den Link „Access Document“ klickte, landete auf der in der Google-Cloud gehosteten Phishing-Website. Sie forderte den Nutzer auf, seine Anmeldedaten für Office 365 einzugeben.

Check Point zufolge war der Angriff für Nutzer nur schwer zu erkennen, da alle verwendeten Ressourcen aus legitimen Quellen stammten. Eine Weiterentwicklung der Angriffsmethode nutze zudem den Google-Dienst Cloud Functions, der es erlaube, Code in der Cloud auszuführen. Dadurch könnten die Angreifer sogar die Herkunft der für die Phishing-Seite benötigten Inhalte verschleiern.

Ohne die Cloud Functions fanden die Forscher nämlich im Code der Phishing-Seite eine Domain der Angreifer, die wiederum zu einer IP-Adresse in der Ukraine gehörten soll. Das erlaubte es ihnen, eine Verbindung zu Aktivitäten der Hacker aus dem Jahr 2018 herzustellen, als sie ihre Phishing-Seiten noch direkt auf einer schädlichen Domain hosteten. Danach wechselten sie zu Microsoft Azure, bevor sie aktuell bei Googles Cloud-Angeboten landeten.

Inzwischen hat Google die fraglichen Inhalte von seinen Server entfernt. „Google untersucht Phishing-Seiten und sperrt sie aus, wenn wir durch Safe Browsing-Datenfeeds und andere direkte Berichte auf sie aufmerksam werden“, teilte das Unternehmen dem Bericht zufolge mit.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Themenseiten: Authentifizierung, Check Point, Cloud-Computing, Google, Office 365

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Phishing-Kampagne nutzt Googles Cloud-Dienste zum Diebstahl von Office-365-Anmeldedaten

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *