Tactic essaie de tromper les employés qui font confiance à la marque Google.
Les acteurs de la menace ont découvert un moyen d’abuser des scripts Google Apps pour faufiler des liens vers des sites Web malveillants passés de défenses de phishing.
Selon de nouvelles recherches de Cofense, une nouvelle attaque a été découverte où, si un employé clique sur un lien dans un e-mail de phishing, il est emmené sur une page de l’attaquant parier que l’utilisateur verra et fera confiance à la marque Google, et fais donc confiance au contenu.
« En utilisant une plate-forme de confiance pour héberger la page de phishing, l’acteur de menace crée un faux sentiment de sécurité, masquant la menace sous-jacente dans le but d’amener le destinataire à saisir son e-mail et son mot de passe sans réfléchir à deux fois », indique le rapport.
Les CISO doivent rappeler aux employés des séances régulières de formation à la sensibilisation à la sécurité à ne pas laisser tomber leur garde et à lire tous les e-mails de près pour les indices d’une arnaque.
Ils doivent également se rappeler qu’une prudence apparaît qu’un message utilise un outil d’une marque bien connue – comme Google – ne garantit pas que le message est sûr.
Qu’est-ce que le script Google Apps?
Apps Script est une plate-forme JavaScript basée sur le cloud alimentée par Google Drive qui permet à un développeur de s’intégrer et d’automatiser les tâches sur Google Products. Avec lui, Google indique que les développeurs peuvent ajouter des menus, des dialogues et des barres latérales personnalisés aux documents Google, aux feuilles et aux formulaires; Écrivez des fonctions personnalisées et des macros pour Google Sheets, publiez des applications Web, soit autonomes ou intégrés dans les sites Google; Interagissez avec d’autres services Google, y compris Adsense, Analytics, Calendar, Drive, Gmail et Maps, etc.
L’abus des acteurs de la menace des scripts d’applications est un autre exemple de tactique vivant sur les terres, utilisant des outils ou des capacités légitimes pour des actes malveillants contre les cibles. C’est également un exemple d’une autre tactique préférée, en utilisant une marque bien connue, comme Microsoft ou AWS, pour faciliter les inquiétudes de sécurité des cibles.
La cofense d’attaque a été réalisée était un e-mail qui comprenait une facture contenant un lien vers une page Web qui utilise un script Google Apps. En usurpant le domaine de l’entreprise, il semblait provenir d’une entreprise légitime qui vend un handicap et un équipement de santé. Le message lui-même («Hello Team. Veuillez voir la facture ci-jointe pour le traitement et le paiement.
Le message peut également déclencher un avertissement dans une application de défense de phishing: « Cette application a été créée par un utilisateur de script Google Apps. » Mais encore une fois, le fait qu’il ait la marque de Google dans l’avertissement peut faire se détendre certains.
Bien sûr, pour un employé formé, cette brièveté est également un avertissement que cela peut être le phishing. De plus, une salutation générale («Hello Team») devrait déclencher des soupçons, même si le destinataire gère les factures.
L’e-mail a un bouton d’aperçu que l’acteur de menace espère qu’un employé curieux cliquera. Il déclenche une fenêtre de connexion frauduleuse – celle qui est soigneusement conçue pour paraître légitime – du site Web usurpé. Si un employé entre ses informations d’identification, il est capturé par l’acteur de menace, un script redirige automatiquement l’utilisateur vers une page de connexion Microsoft légitime.
L’attaque s’appuie sur les tactiques précédentes
« Au cours des deux à trois dernières années, les attaquants ont utilisé une variété de mécanismes pour se vêtements en tant qu’opérateur légitime », a-t-il déclaré dans un e-mail. «Par exemple, ils ont envoyé des invitations au calendrier avec des pièces jointes qui semblent légitimes lorsque vous ouvrez votre calendrier. Ils ont des canaux de communication interceptés, tels que Microsoft Teams ou Zoom, afin d’apparaître en tant que participants à des réunions légitimes. La dernière méthodologie d’attaque s’appuie sur cette nouvelle approche tactique.»
Les scripts Google Apps peuvent être « de confiance », a-t-il dit, mais à un utilisateur typique, il reste plusieurs drapeaux rouges dans ce type d’attaque:
- La plupart des utilisateurs ne sont jamais dirigés vers Google Apps Scripts. Le fait que Google soit dans le nom ne devrait pas créer la confiance s’il s’agit d’un nouveau site à un utilisateur;
- Si l’URL à laquelle un employé est dirigé est long et complexe – ou obscurci – c’est un signe d’avertissement. Les employés doivent être rappelés qu’ils devraient être en mesure de comprendre l’URL complète et complète à laquelle un lien va;
- Comme dans d’autres types d’attaques de phishing, si l’e-mail essaie d’impliquer un sentiment d’urgence pour pousser le personnel à travers les pages au point d’entrer des informations d’accès sensibles, c’est toujours un drapeau rouge.
« En bref, les attaques de script Google Apps peuvent contourner les contrôles anti-phishing locaux », a déclaré Beggs, « cependant, les informations qui signalent une attaque reste présente, et les utilisateurs diligents pourront détecter la tentative d’attaque. »
