Eine aktuelle Phishing-Kampagne hostet auf Googles Cloud-Diensten speziell gestaltete Dokumente, mit denen Cyberkriminelle die Anmeldedaten für Office-365-Konten abgreifen wollen. Sie folgen damit dem Trend, gefälschte Dokumente und auch Websites auf öffentlichen Cloud-Servern abzulegen, statt sie eigenen oder angemieteten Servern vorzuhalten.
Die PDF-Datei wurde so gestaltet, als würde sie als Zugang zu Inhalten dienen, die auf Microsofts SharePoint-Plattform verfügbar waren. Ein Opfer, dass auf den Link „Access Document“ klickte, landete auf der in der Google-Cloud gehosteten Phishing-Website. Sie forderte den Nutzer auf, seine Anmeldedaten für Office 365 einzugeben.
Check Point zufolge war der Angriff für Nutzer nur schwer zu erkennen, da alle verwendeten Ressourcen aus legitimen Quellen stammten. Eine Weiterentwicklung der Angriffsmethode nutze zudem den Google-Dienst Cloud Functions, der es erlaube, Code in der Cloud auszuführen. Dadurch könnten die Angreifer sogar die Herkunft der für die Phishing-Seite benötigten Inhalte verschleiern.
Ohne die Cloud Functions fanden die Forscher nämlich im Code der Phishing-Seite eine Domain der Angreifer, die wiederum zu einer IP-Adresse in der Ukraine gehörten soll. Das erlaubte es ihnen, eine Verbindung zu Aktivitäten der Hacker aus dem Jahr 2018 herzustellen, als sie ihre Phishing-Seiten noch direkt auf einer schädlichen Domain hosteten. Danach wechselten sie zu Microsoft Azure, bevor sie aktuell bei Googles Cloud-Angeboten landeten.
Inzwischen hat Google die fraglichen Inhalte von seinen Server entfernt. „Google untersucht Phishing-Seiten und sperrt sie aus, wenn wir durch Safe Browsing-Datenfeeds und andere direkte Berichte auf sie aufmerksam werden“, teilte das Unternehmen dem Bericht zufolge mit.
Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
