Campagne di Phishing Google Docs 

 

Proto: N020517.

Con la presente Yoroi desidera informarLa che sono stati recentemente rilevate pericolose campagne di attacco mirate ad account gestiti mediante piattaforme e servizi Cloud di Google. I tentativi di attacco utilizzano classiche tecniche di phishing per ingannare le vittime ed indurle all’apertura di determinate risorse tuttavia, in questo particolare caso, lo scopo delle ondate di mail malevole è differente: l’attaccante ha l’obiettivo di compromettere direttamente risorse e documenti gestiti tramite servizi Google come GMail o Google Drive, senza infezione di macchine client ne furto di credenziali. 

Le email di fraudolente rilevate in queste ondate di attacco risultano provenire da contatti noti alle vittime dell’attacco ed emulano notifiche di condivisione tipicamente utilizzate dalla piattaforma Google Docs, inducendo così l’utente a visitare la risorsa collegata.


mail_phish.png
Figura 1. Esempio mail di Phishing relativa alla campagna di attacco


A seguito dell’apertura del link, l’utente viene rediretto verso particolari applicazioni Google App Script appositamente studiate per indurre l’utente a credere che si tratti di un accesso legittimo all’applicazione Google Docs. Di seguito si riportano i domini collegati alle applicazioni utilizzate per la campagna di attacco:

  • docscloud[.]download
  • docscloud[.]info
  • docscloud[.]win
  • gdocs[.]download
  • docscloud[.]info
  • g-docs[.]pro
  • gdocs[.]pro
  • gdocs[.]win
  • docscloud[.]download
  • g-cloud[.]win
  • g-cloud[.]pro

A seguito della temporanea redirezione, viene presentata all’utente la tipica schermata di autorizzazione utilizzata dalla piattaforma di autenticazione Google domandando varie tipologie di permessi come accesso arbitrario a comunicazioni email, accesso arbitrario ai dati contenuti sui servizi di storage o accesso alla rubrica dei contatti della vittima, di fatto ottenendo l’esfiltrazione di dati dagli account vittima senza la necessità di installazione malware all’interno della macchina client della vittima, aggirando così il perimetro di sicurezza e bypassando i controlli anti-malware.


phish_page.png
Figura 2. Esempio richiesta di autorizzazione legata a campagna di attacco


A tale proposito Yoroi consiglia di verificare la provenienza delle applicazioni che richiedono autorizzazioni verso gli account in uso e di effettuare controlli periodici sulle applicazioni installate sugli account Google installate al fine di rimuovere eventuali permessi rilasciati ad applicazioni non autorizzate, tra cui la sedicente applicazione “Google Docs” precedentemente descritta. 

La sempre maggiore diffusione ed utilizzo di servizi cloud inter-operabili ed estendibili rappresentano una estensione della superficie di attacco non trascurabile. Per questa ragione Yoroi suggerisce di sensibilizzare i Vostri utenti sull’utilizzo di questi servizi, considerandoli come un’estensione delle proprie macchine client ed invitandoli ad utilizzare lo stesso livello di attenzione adottato nell’apertura di file provenienti dall’esterno.

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere sistemi, signature e sandbox aggiornate, verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia inoltre di mantenere alto il livello di consapevolezza dei vostri utenti e delle vostre strutture, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index