网络犯罪分子升级了攻击手段,利用受信任的开发平台 Google Apps Script 托管复杂的钓鱼活动,成功绕过传统安全防护措施。
这种新兴威胁标志着攻击者利用合法基础设施提升恶意操作可信度的重大转变。最新攻击活动通过伪装成正规残障及健康设备供应商的虚假发票邮件,针对毫无戒备的用户发起攻击。
精心设计的钓鱼策略
攻击者精心设计的邮件内容简洁,既避免触发垃圾邮件过滤器,又通过制造紧迫感诱导收件人立即采取行动。他们刻意利用用户对看似业务相关且时效性强的通信内容的天然信任。
Cofense 分析师通过其钓鱼防御中心识别出这一复杂攻击活动,揭示了威胁行为者如何将谷歌自身基础设施武器化以营造真实性假象。通过在 script.google.com 域名托管恶意内容,攻击者有效规避了通常会将谷歌服务加入白名单的安全解决方案,使得自动系统和终端用户都更难检测到威胁。
攻击影响深远
此次攻击的影响远超简单的凭证窃取,成功入侵将使得网络犯罪分子获得企业电子邮件系统和敏感组织数据的访问权限。由于用户习惯性信任谷歌托管的内容而不加审查,利用谷歌可信环境大大提高了攻击成功率。
多阶段感染机制
攻击通过精心设计的流程展开,旨在最大化受害者参与度同时最小化怀疑。
初始感染始于收件人点击伪造邮件中的"查看发票"链接,该链接会将他们重定向至Google Apps Script托管的页面,显示看似合法的电子传真下载界面。
关键转折点出现在用户点击"预览"按钮时,系统会部署一个模仿真实微软认证界面的欺诈性登录窗口。
一旦输入凭证,PHP脚本会立即捕获数据并传输至攻击者控制的服务器,随后无缝地将受害者重定向至合法的微软登录页面以维持欺骗假象。
这种最终重定向充当心理伪装,使受害者意识不到其凭证已遭泄露,同时让攻击者立即获得企业系统和敏感信息的访问权限。
原文始发于微信公众号(船山信安):攻击者利用Google Apps Script托管钓鱼网站,成功绕过传统安全防护措施
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论