信息化觀察網(wǎng)

針對(duì)美國(guó)和英國(guó)銀行和金融公司員工的惡意電子郵件活動(dòng)一直在濫用谷歌云存儲(chǔ)、傳播有效載荷。

周三，Menlo實(shí)驗(yàn)室的研究人員表示，他們一直在關(guān)注BEC騙局，其重點(diǎn)是銀行和金融服務(wù)公司的員工。該活動(dòng)遵循BEC騙局的典型做法，使用“量身定制”的社交工程和網(wǎng)絡(luò)釣魚電子郵件，誘使?jié)撛谑芎φ唿c(diǎn)擊惡意鏈接并下載惡意軟件負(fù)載。

這一活動(dòng)自今年8月起開始運(yùn)作，似乎專注于英國(guó)和美國(guó)的金融服務(wù)。然而，這個(gè)特定的方案包含有一個(gè)有趣的元素，研究人員說(shuō)這個(gè)元素變得越來(lái)越普遍：使用合法的，眾所周知的存儲(chǔ)服務(wù)來(lái)灌輸對(duì)網(wǎng)絡(luò)釣魚消息的進(jìn)一步信任。在這種情況下，詐騙者正在使用谷歌云存儲(chǔ)，這是一種全球無(wú)數(shù)公司用于合法目的的服務(wù)。

Menlo Security表示，在這波特殊的網(wǎng)絡(luò)釣魚浪潮中，追蹤到的每條信息都發(fā)送了存儲(chǔ)在storage.googleapis.com網(wǎng)站上的惡意.zip或.gz文件。不良行為者可能會(huì)利用這個(gè)廣受信任的領(lǐng)域來(lái)承載他們的有效負(fù)載，以作為一種繞過(guò)組織實(shí)施的安全控制或內(nèi)置到商業(yè)安全產(chǎn)品中的方法。

這種特殊的技術(shù)被稱為“信譽(yù)劫持”，在部署惡意軟件時(shí)使用流行的合法服務(wù)來(lái)規(guī)避安全措施。據(jù)網(wǎng)絡(luò)安全公司稱，在Alexa排名的前10萬(wàn)個(gè)域名中，有4600個(gè)域名被發(fā)現(xiàn)參與了利用合法主機(jī)服務(wù)的釣魚計(jì)劃。為了使釣魚電子郵件不容易被發(fā)現(xiàn)，威脅行動(dòng)者也可能選擇使用惡意鏈接而不是附件，因?yàn)樵S多電子郵件安全產(chǎn)品只有注冊(cè)在威脅存儲(chǔ)庫(kù)中，才會(huì)識(shí)別惡意鏈接。雖然這些地址被識(shí)別只是時(shí)間問(wèn)題，但是只需要一個(gè)小窗口便可成功地滲透到一個(gè)組織。

如果受害者的系統(tǒng)在有問(wèn)題的BEC詐騙期間收到網(wǎng)絡(luò)釣魚郵件，他們會(huì)看到使用包括transfer.vbs，匯款invoice.jar，Transfer invoice.vbs和Swift invoice.jar等名稱的附件，所有文件都存儲(chǔ)在谷歌的云服務(wù)上。

如果下載并執(zhí)行這些文件，則VBS腳本和JAR文件將充當(dāng)Droppers，從Houdini惡意軟件系列中下載和執(zhí)行特洛伊木馬。每個(gè)腳本使用Base64編碼進(jìn)行模糊處理，并與pm2bitcoin.com域上的命令和控制（C2）服務(wù)器通信。Houdini遠(yuǎn)程訪問(wèn)木馬（RAT）能夠通過(guò)網(wǎng)絡(luò)和可移動(dòng)驅(qū)動(dòng)器橫向移動(dòng)，并能夠從C2服務(wù)器執(zhí)行和下載額外的有效載荷，例如勒索軟件或加密劫持惡意軟件。

現(xiàn)在谷歌已將這些惡意軟件的有效負(fù)載移除，并表示：“我們會(huì)定期刪除Google云端存儲(chǔ)上的惡意軟件，我們的自動(dòng)系統(tǒng)會(huì)暫停本報(bào)告中提到的惡意軟件。此外，客戶還可以通過(guò)我們的網(wǎng)站報(bào)告可疑的濫用行為。”

但獲取端點(diǎn)訪問(wèn)的新方法將繼續(xù)發(fā)展，金融服務(wù)公司可能會(huì)成為更復(fù)雜的惡意軟件和釣魚攻擊的目標(biāo)。12月初，拯救兒童基金會(huì)曾遭遇BEC騙局損失100萬(wàn)美元，聯(lián)邦調(diào)查局也曾對(duì)企業(yè)發(fā)出過(guò)提醒，在過(guò)去兩年中，執(zhí)法部門記錄的BEC詐騙報(bào)告增加了136%，各行業(yè)公司已經(jīng)因此損失了數(shù)十億美元。