I SophosLabs rivelano in che modo i criminali informatici utilizzano Moduli Google. Phishing e malware spesso aprono la strada al ransomware o al furto di dati. L'ultima analisi dei SophosLabs mostra come i truffatori utilizzano i Moduli Google per i loro scopi.
Sophos ha pubblicato un nuovo rapporto di analisi intitolato: "Phishing and Malware Actors Abuse Google Forms for Credentials, Data Exfiltration", che si occupa dell'uso improprio di Google Form da parte dei criminali informatici.
Moduli Google semplifica la vita ai criminali informatici
"La misura in cui gli aggressori stanno sfruttando Google Forms è venuta alla luce quando abbiamo indagato su come il malware abusa della crittografia per offuscare attività e comunicazioni", ha affermato Sean Gallagher, ricercatore senior sulle minacce di Sophos. “Google Forms lo rende particolarmente facile per i criminali informatici: i moduli sono facili da implementare e affidabili, sia per l'organizzazione che per il consumatore. Il flusso di dati da e verso il servizio è protetto dalla crittografia Transport Layer Security (TLS), che rende meno facile l'ispezione da parte dei difensori. Quindi l'intera configurazione prevede essenzialmente un'infrastruttura di attacco gratuita.
L'analisi mostra che l'uso improprio più comune di Google Forms è nelle aree di phishing e frode, che richiedono relativamente poca abilità. Tuttavia, vi sono segnali crescenti che gli aggressori stiano utilizzando la piattaforma per attacchi più complessi. Negli esempi, i criminali hanno utilizzato Google Forms per l'esfiltrazione di dati e il comando e controllo del malware.
Sette tipi di usi criminali dei Moduli Google
1. Phishing:
Google avverte gli utenti in ogni pagina di Moduli di non divulgare i dettagli della password. Tuttavia, gli esperti di Sophos hanno trovato vari esempi in cui gli aggressori hanno cercato di convincere le potenziali vittime a inserire i propri dati di accesso personali in un falso modulo Google. Questi sono spesso collegati a campagne di spam dannose.
2. Campagne di spam dannose
Una delle maggiori fonti di questi collegamenti di phishing nello spam era rappresentata dai collegamenti di "annullamento dell'iscrizione" nelle e-mail di marketing ingannevoli. Sophos ha intercettato una serie di queste campagne di phishing rivolte agli account Microsoft online, incluso Office365. Gli spam affermavano che gli account di posta elettronica del destinatario sarebbero stati chiusi se non li avessero verificati immediatamente. È stato inviato un collegamento falso con grafica Microsoft, ma chiaramente non era un vero modulo Google.
3. Furto di carte di pagamento
I truffatori di livello principiante amano utilizzare modelli di progettazione di moduli Google predefiniti per rubare i dati di pagamento con carta utilizzando siti di e-commerce falsi e apparentemente sicuri.
4. PUA (applicazioni potenzialmente indesiderate), come adware
Gli utenti Windows in particolare sono spesso colpiti. Queste applicazioni utilizzano furtivamente le pagine di Google Forms mentre le richieste Web vengono raccolte e indirizzate automaticamente ai moduli: non è richiesta alcuna interazione da parte dell'utente.
5. Falsa interfaccia utente per app Android dannose
Sophos ha scoperto alcune applicazioni Android dannose che utilizzano Moduli Google per raccogliere dati senza dover codificare alcun sito Web di back-end. La maggior parte di queste app erano adware o PUA, inclusa SnapTube, un'app video che genera entrate per gli sviluppatori tramite truffe pubblicitarie e include una pagina del modulo Google per le recensioni.
6. Cancellazione dei dati
Gli analisti hanno scoperto una serie di minacce ancora più sofisticate che sfruttano Google Forms. Ciò include, ad esempio, applicazioni Windows dannose che utilizzano richieste Web a Moduli Google per "spingere" i dati del computer rubati in un foglio di calcolo di Google.
7. Parte di una più ampia infrastruttura di attacco informatico dannoso
Sophos ha scoperto una serie di script PowerShell che interagiscono con Google Forms. Gli esperti sono stati quindi in grado di ricreare il modo in cui uno script PowerShell può essere utilizzato per raccogliere i dati del profilo Windows da un PC e inserirli automaticamente in un modulo Google.
Non fidarti ciecamente di doc.google.com
Sean Gallagher consiglia inoltre: "Google chiude spesso gli account associati all'abuso di massa delle applicazioni, inclusi i moduli Google. Tuttavia, un utilizzo più raro ma mirato di Moduli Google da parte di malware potrebbe non essere rilevato. Gli utenti dovrebbero quindi essere attenti quando vedono collegamenti a moduli Google o altri collegamenti di condivisione di autorizzazioni apparentemente legittimi e non fidarsi ciecamente del traffico TLS verso domini apparentemente noti, come doc.google.com.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.