Google è generalmente considerato uno spazio sicuro poiché offre una varietà di servizi che si rivolgono ad aziende e individui in tutto il mondo, con il servizio principale che è un motore di ricerca. A causa della sua reputazione e dell’ampio utilizzo, le tipiche soluzioni antivirus e di sicurezza della posta elettronica, come i gateway di posta elettronica sicuri (SEG), non tendono a bloccare o limitare le funzionalità all’interno del dominio di Google poiché in genere bloccano gli URL a livello di dominio o sottodominio. Il Cofense Phishing Defense Center (PDC) ha fornito informazioni su come Google Translate venga utilizzato per diffondere crimeware.

Figura 1: corpo dell’email

Nella Figura 1, il corpo di questa e-mail solleva domande, poiché l’autore della minaccia menziona un documento condiviso tramite Google Drive e l’indirizzo “da” proviene da un sito Web apparentemente legittimo. Questa tattica, insieme al soggetto, ” nome @ sito web .com ha condiviso un file con te”, è comunemente vista con la maggior parte delle analisi di phishing PDC. Come visto con l’anteprima del collegamento in Figura 1, il collegamento ipertestuale di Google Drive nel corpo va invece a un collegamento di Google Translate. Il marchio Google Drive per il collegamento ipertestuale ha senso dato il contesto del soggetto e del corpo poiché è una piattaforma di condivisione di file, quindi aiuta a giocare nell’inganno del phishing. L’URL di Google Drive stesso è un collegamento a un’immagine del logo dell’azienda che corrisponde a quello dell’indirizzo “da” contraffatto. Questa è un’altra tecnica comune per lo spoofing.

Figura 2: pagina di phishing

Come mostrato nella Figura 2, la pagina contiene un’immagine di sfondo che rappresenta un documento Microsoft Excel sfocato, con un popup che richiede l’indirizzo e-mail e la password. A guardarlo da vicino, questo è molto probabilmente un cattivo tentativo di phishing di Microsoft nonostante l’e-mail affermi di essere un documento di Google Drive. Ciò è evidente dalla struttura dell’interfaccia utente dell’immagine di sfondo che corrisponde al software Excel di Microsoft e non alla controparte di Google, Fogli. Una volta inserite le credenziali, il payload viene inviato al sito web contenuto nell’URL di Google Translate (digigage[.]club).

Con la capacità essenzialmente di passare gli attacchi attraverso l’infrastruttura di Google, gli attori delle minacce stanno riducendo notevolmente la possibilità che le loro minacce vengano bloccate o segnalate da sistemi di sicurezza come i SEG e stanno aumentando la loro capacità di raggiungere con successo la casella di posta a scapito dell’utente.

La tattica mostrata è un fastidioso bug all’interno dei servizi di Google che gli attori delle minacce hanno sfruttato e sfruttato per l’inganno e l’offuscamento. Questi metodi sottolineano le vulnerabilità dei SEG e di altre soluzioni di sicurezza della posta elettronica per le quali la blacklist e la mitigazione diventano un mezzo noioso e forse inefficace di gestione delle minacce.

 

https://cofense.com/blog/google-translate-phish/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE