SophosLabs revela como os cibercriminosos estão usando o Google Forms. Phishing e malware geralmente abrem caminho para ransomware ou roubo de dados. A análise mais recente da SophosLabs mostra como os golpistas usam o Google Forms para seus propósitos.
A Sophos publicou um novo relatório de análise intitulado: "Phishing and Malware Actors Abuse Google Forms for Credentials, Data Exfiltration", que trata do uso indevido de Google Forms por cibercriminosos.
Formulários do Google torna mais fácil para os cibercriminosos
“A extensão em que os invasores estão aproveitando os Formulários do Google veio à tona quando investigamos como o malware abusa da criptografia para ofuscar atividades e comunicações”, disse Sean Gallagher, pesquisador sênior de ameaças da Sophos. “O Google Forms torna isso particularmente fácil para os cibercriminosos: os formulários são fáceis de implementar e confiáveis, tanto para a organização quanto para o consumidor. O fluxo de dados de e para o serviço é protegido pela criptografia TLS (Transport Layer Security), tornando mais difícil a inspeção dos defensores. Portanto, toda a configuração envolve essencialmente uma infraestrutura de ataque livre.”
A análise mostra que o uso indevido mais comum do Google Forms é nas áreas de phishing e fraude, o que requer relativamente pouca habilidade. No entanto, há sinais crescentes de que os invasores estão usando a plataforma para ataques mais complexos. Nos exemplos, os criminosos usaram o Google Forms para exfiltração de dados e comando e controle de malware.
Sete tipos de uso criminoso do Google Forms
1. Phishing:
O Google avisa os usuários em todas as páginas de formulários para não divulgar detalhes de senha. No entanto, os especialistas da Sophos encontraram vários exemplos em que os invasores tentaram fazer com que as vítimas em potencial inserissem seus dados de acesso pessoal em um formulário falso do Google. Eles geralmente estão vinculados a campanhas de spam maliciosas.
2. Campanhas de Spam Maliciosas
Uma das maiores fontes desses links de phishing no spam eram os links de "cancelamento" em e-mails de marketing enganosos. A Sophos interceptou várias dessas campanhas de phishing direcionadas a contas online da Microsoft, incluindo o Office365. Os spams afirmavam que as contas de e-mail do destinatário seriam encerradas se não fossem verificadas imediatamente. Um link falso foi enviado com gráficos da Microsoft, mas claramente não era um formulário genuíno do Google.
3. Roubo de cartões de pagamento
Os golpistas de nível iniciante gostam de usar modelos de design pré-criados do Google Forms para roubar dados de pagamento com cartão usando sites de comércio eletrônico falsos e aparentemente seguros.
4. PUAs (aplicativos potencialmente indesejados), como adware
Os usuários do Windows, em particular, são frequentemente afetados. Esses aplicativos usam furtivamente as páginas do Google Forms enquanto as solicitações da web são coletadas e roteadas automaticamente para os formulários - nenhuma interação do usuário é necessária.
5. IU falsa para aplicativos Android maliciosos
A Sophos descobriu alguns aplicativos Android maliciosos que usam o Google Forms para coletar dados sem precisar codificar nenhum site de back-end. A maioria desses aplicativos era adware ou PUAs, incluindo SnapTube, um aplicativo de vídeo que gera receita para desenvolvedores por meio de golpes de anúncios e inclui uma página de formulário do Google para revisões.
6. Eliminação de dados
Os analistas descobriram uma série de ameaças ainda mais sofisticadas que exploram os Formulários Google. Isso inclui, por exemplo, aplicativos maliciosos do Windows que usam solicitações da Web para formulários do Google para "enviar" dados de computador roubados para uma planilha do Google.
7. Parte de uma infraestrutura maior de ataque cibernético malicioso
A Sophos descobriu vários scripts do PowerShell que interagem com o Google Forms. Os especialistas puderam recriar como um script do PowerShell pode ser usado para coletar dados de perfil do Windows de um PC e inseri-los automaticamente em um formulário do Google.
Não confie cegamente em doc.google.com
Sean Gallagher também recomenda: “O Google frequentemente encerra contas associadas ao abuso em massa de aplicativos, incluindo Google Forms. No entanto, um uso mais raro, mas direcionado, do Google Forms por malware pode passar despercebido. Portanto, os usuários devem estar alertas quando virem links para Formulários Google ou outros links de compartilhamento de permissão aparentemente legítimos e não confiar cegamente no tráfego TLS para domínios aparentemente conhecidos, como doc.google.com.”
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.