Aktor ancaman menyalahgunakan platform pengembangan ‘Google Apps Script’ untuk meng -host halaman phishing yang tampak sah dan mencuri kredensial login.
Tren baru ini terlihat oleh para peneliti keamanan di Cofense, yang memperingatkan bahwa jendela login penipuan “dirancang dengan hati -hati agar terlihat seperti layar login yang sah.”
“Serangan menggunakan email yang menyamar sebagai faktur, berisi tautan ke halaman web yang menggunakan skrip Google Apps, platform pengembangan yang terintegrasi di seluruh rangkaian produk Google,” Cofense menjelaskan.
“Dengan hosting halaman phishing dalam lingkungan tepercaya Google, penyerang membuat ilusi keaslian. Ini membuatnya lebih mudah untuk menipu penerima agar menyerahkan informasi sensitif.”
Penyalahgunaan layanan yang sah
Google Apps Script adalah platform skrip cloud berbasis JavaScript dari Google yang memungkinkan pengguna untuk mengotomatisasi tugas dan memperluas fungsionalitas produk Google Workspace seperti Google Sheets, Docs, Drive, Gmail, dan Kalender.
Script ini dijalankan pada domain Google tepercaya di bawah “script.google.com,” yang ada dalam daftar sebagian besar produk keamanan.
Penyerang menulis skrip Google Apps yang menampilkan halaman login palsu untuk menangkap kredensial yang dimasukkan oleh para korban. Data dieksfiltrasi ke server penyerang melalui permintaan tersembunyi.
Sumber: Cofense
Karena platform memungkinkan siapa pun dengan akun untuk mempublikasikan skrip sebagai aplikasi web publik, memberikannya domain Google, para aktor ancaman dapat dengan mudah membagikannya kepada para korban melalui email phishing yang tidak akan memicu peringatan apa pun.
Email phishing berisi pembayaran faktur atau panggilan yang terkait dengan pajak untuk penerima, yang menautkan ke halaman phishing yang diselenggarakan oleh Google-Hosting.
.jpg)
Sumber: Cofense
Setelah korban memasuki nama pengguna dan kata sandi mereka, mereka dialihkan ke layanan sah yang dipalsukan untuk menurunkan kecurigaan dan memberi aktor ancaman waktu untuk mengeksploitasi data yang dicuri.
Script Google Apps tampaknya menjadi fokus baru aktor phishing yang mencari platform yang sah untuk penyalahgunaan untuk penghindaran dan efisiensi operasional.
Dalam hal ini, ini juga memberi para penyerang fleksibilitas untuk menyesuaikan skrip mereka dari jarak jauh tanpa harus mengirim ulang tautan baru, beralih ke godaan yang berbeda tanpa banyak usaha.
Ukuran pertahanan yang efektif adalah mengonfigurasi keamanan email untuk meneliti tautan layanan cloud dan, jika mungkin, memblokir akses ke URL skrip Google Apps sama sekali, atau setidaknya menandai mereka berpotensi berbahaya.
BleepingComputer telah menghubungi Google untuk menanyakan apakah mereka berencana untuk mengimplementasikan langkah-langkah anti-penyalahgunaan dalam menanggapi temuan Cofense, tetapi kami belum mendengar kembali sebagai publikasi.
