Les SophosLabs révèlent comment les cybercriminels utilisent Google Forms. Le phishing et les logiciels malveillants ouvrent souvent la voie aux rançongiciels ou au vol de données. La dernière analyse des SophosLabs montre comment les escrocs utilisent Google Forms à leurs fins.
Sophos a publié un nouveau rapport d'analyse intitulé : "Phishing and Malware Actors Abuse Google Forms for Credentials, Data Exfiltration", qui traite de l'utilisation abusive de Google Forms par les cybercriminels.
Google Forms facilite la tâche des cybercriminels
"La mesure dans laquelle les attaquants exploitent Google Forms a été révélée lorsque nous avons enquêté sur la façon dont les logiciels malveillants abusent du chiffrement pour obscurcir les activités et les communications", a déclaré Sean Gallagher, chercheur principal sur les menaces chez Sophos. "Google Forms facilite particulièrement la tâche des cybercriminels : les formulaires sont faciles à mettre en œuvre et fiables, tant pour l'organisation que pour le consommateur. Le flux de données vers et depuis le service est protégé par le cryptage Transport Layer Security (TLS), ce qui rend l'inspection moins facile pour les défenseurs. Donc, toute la configuration implique essentiellement une infrastructure d'attaque gratuite.
L'analyse montre que l'utilisation abusive la plus courante de Google Forms concerne les domaines du phishing et de la fraude, qui nécessitent relativement peu de compétences. Cependant, il y a de plus en plus de signes que les attaquants utilisent la plate-forme pour des attaques plus complexes. Dans les exemples, les criminels ont utilisé Google Forms pour l'exfiltration de données et la commande et le contrôle des logiciels malveillants.
Sept types d'utilisations criminelles de Google Forms
1. Hameçonnage :
Google avertit les utilisateurs sur chaque page de formulaires de ne pas divulguer les détails du mot de passe. Néanmoins, les experts de Sophos ont trouvé divers exemples dans lesquels des attaquants ont tenté d'amener des victimes potentielles à saisir leurs données d'accès personnelles dans un faux formulaire Google. Ceux-ci sont souvent liés à des campagnes de spam malveillantes.
2. Campagnes de spam malveillantes
L'une des principales sources de ces liens de phishing dans les spams était les liens de "désabonnement" dans les e-mails marketing trompeurs. Sophos a intercepté un certain nombre de ces campagnes de phishing ciblant les comptes en ligne de Microsoft, dont Office365. Les spams indiquaient que les comptes de messagerie du destinataire seraient fermés s'ils ne les vérifiaient pas immédiatement. Un faux lien a été envoyé avec des graphiques Microsoft, mais il ne s'agissait clairement pas d'un véritable formulaire Google.
3. Vol de cartes de paiement
Les escrocs de niveau débutant aiment utiliser des modèles de conception Google Forms prédéfinis pour voler des données de paiement par carte à l'aide de faux sites de commerce électronique apparemment sûrs.
4. PUA (applications potentiellement indésirables), telles que les logiciels publicitaires
Les utilisateurs de Windows en particulier sont souvent concernés. Ces applications utilisent furtivement les pages Google Forms pendant que les requêtes Web sont collectées et automatiquement acheminées vers les formulaires - aucune interaction de l'utilisateur n'est requise.
5. Fausse interface utilisateur pour les applications Android malveillantes
Sophos a découvert des applications Android malveillantes qui utilisent Google Forms pour collecter des données sans avoir à coder de sites Web principaux. La plupart de ces applications étaient des logiciels publicitaires ou des PUA, y compris SnapTube, une application vidéo qui génère des revenus pour les développeurs via des escroqueries publicitaires et inclut une page de formulaire Google pour les avis.
6. Effacement des données
Les analystes ont découvert un certain nombre de menaces encore plus sophistiquées qui exploitent Google Forms. Cela inclut, par exemple, les applications Windows malveillantes qui utilisent des requêtes Web adressées à Google Forms pour "pousser" des données informatiques volées dans une feuille de calcul Google.
7. Partie d'une plus grande infrastructure de cyberattaques malveillantes
Sophos a découvert un certain nombre de scripts PowerShell qui interagissent avec Google Forms. Les experts ont ensuite pu recréer comment un script PowerShell peut être utilisé pour collecter des données de profil Windows à partir d'un PC et les insérer automatiquement dans un formulaire Google.
Ne faites pas aveuglément confiance à doc.google.com
Sean Gallagher recommande également : « Google ferme fréquemment les comptes associés à un abus massif d'applications, y compris Google Forms. Cependant, une utilisation plus rare mais ciblée de Google Forms par des logiciels malveillants pourrait passer inaperçue. Les utilisateurs doivent donc être vigilants lorsqu'ils voient des liens vers Google Forms ou d'autres liens de partage d'autorisation apparemment légitimes, et ne pas faire aveuglément confiance au trafic TLS vers des domaines apparemment connus, tels que doc.google.com.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.