Atores de ameaças estão abusando da plataforma de desenvolvimento 'Google Apps Script' para hospedar páginas de phishing que parecem legítimas e roubar credenciais de login.
Essa nova tendência foi identificada por pesquisadores de segurança da Cofense, que alertam que a janela de login fraudulenta é "cuidadosamente desenhada para se parecer com uma tela de login legítima."
"O ataque utiliza um e-mail mascarado como uma fatura, contendo um link para uma página web que utiliza o Google Apps Script, uma plataforma de desenvolvimento integrada ao conjunto de produtos do Google", explica a Cofense.
Ao hospedar a página de phishing dentro do ambiente confiável do Google, os atacantes criam uma ilusão de autenticidade.
Isso facilita enganar os destinatários para que entreguem informações sensíveis.
Google Apps Script é uma plataforma de scripting em nuvem baseada em JavaScript do Google que permite aos usuários automatizar tarefas e estender a funcionalidade de produtos do Google Workspace como Google Sheets, Docs, Drive, Gmail e Calendar.
Esses scripts são executados em um domínio do Google confiável sob "script.google.com", que está na lista de permissões da maioria dos produtos de segurança.
Os atacantes escrevem um Google Apps Script que apresenta uma página de login falsa para capturar as credenciais inseridas pelas vítimas.
Os dados são exfiltrados para o servidor do atacante via uma solicitação oculta.
Como a plataforma permite que qualquer um com uma conta publique um script como um aplicativo web público, dando-lhe um domínio do Google, os atores de ameaça podem facilmente compartilhá-lo com as vítimas por meio de um e-mail de phishing que não acionará nenhum alerta.
O e-mail de phishing contém um pagamento de fatura ou uma chamada para ação relacionada a impostos para o destinatário, vinculando à página de phishing hospedada no Google.
Após a vítima inserir seu nome de usuário e senha, ela é redirecionada para o serviço legítimo que foi falsificado para diminuir a suspeita e dar tempo aos atores de ameaça para explorar os dados roubados.
O Google Apps Script parece ser o novo foco dos atores de phishing que procuram plataformas legítimas para abusar em busca de evasão e eficiência operacional.
Neste caso, também dá aos atacantes a flexibilidade de ajustar remotamente o script deles sem a necessidade de reenviar um novo link, mudando para um novo isco sem muito esforço.
Uma medida de defesa eficaz seria configurar a segurança do e-mail para escrutinar links de serviços em nuvem e, se possível, bloquear completamente o acesso a URLs do Google Apps Script, ou pelo menos marcá-los como potencialmente perigosos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...