Gli esperti di Sophos, durante le ricerche sull’uso da parte di malware delle comunicazioni basate su Transport Layer Security per nascondere le comunicazioni di comando e il controllo e il traffico di download, hanno riscontrato una quantità sproporzionata di traffico verso i servizi cloud di Google: tra queste hanno rilevato una serie di pagine di Google Forms.
I ricercatori fanno notare come l’abuso di servizi cloud pubblici legittimi da parte di malware non sia una novità. Gli attori malevoli sfruttano le interfacce web del servizio per recuperare i file binari archiviati, entrare in possesso di dati specifici, segnalare i risultati dell’esecuzione o esfiltrare i dati dai sistemi infetti. Poiché i form Google sono protetti da TLS, il contenuto dei dati inviati ai form non può essere verificato senza l’uso di un proxy Web e quindi il traffico sembra far parte di legittime comunicazioni con un’applicazione Google.
L’abuso di Google Forms si è presentato in varie forme. In alcuni casi, i Forms Google vengono utilizzati in rudimentali attacchi di phishing, nel tentativo di convincere le vittime a inserire le proprie credenziali in un modulo progettato per assomigliare a una pagina di accesso di Google Forms.
I ricercatori hanno anche scoperto una serie di applicazioni Android dannose che utilizzavano Google Forms per gli elementi dell’interfaccia utente. Altri esempi di applicazioni Windows dannose utilizzavano richieste web alle pagine di Google Forms per estrarre dati dai computer.
Gli attacchi di web phishing più sofisticati utilizzano HTML che imita da vicino il design dei siti dei servizi presi di mira. I malintenzionati meno esperti utilizzano i modelli di progettazione già pronti di Google Forms per cercare di rubare i dati di pagamento attraverso false pagine di e-commerce “sicure” o creare Forms di phishing credibili.
Spesso questi Forms sono legati a campagne di spam malevole. Tra i link di Google Form più utilizzati nello spam sono risultati quelli di “annullamento dell’iscrizione” nelle e-mail truffa.
“Sophos ha intercettato una serie di campagne di phishing basate sullo spam che hanno preso di mira gli account Microsoft online, incluso Office 365, con il minimo sforzo. Lo spam affermava che gli account di posta elettronica dei destinatari stavano per essere chiusi se non fossero stati immediatamente verificati e offriva un collegamento per eseguire tale verifica: un collegamento a Google Forms, che portava a un modulo realizzato con grafica Microsoft ma ancora chiaramente un modulo Google”, si legge nella comunicazione.
