Главная страница » Индикаторы компрометации
0
10 часов
Индикаторы компрометации

Фальшивые счета на Google Apps Script: как злоумышленники используют доверие к платформе для фишинга

phishing

Фишинг-атаки давно перестали ограничиваться подозрительными письмами с поддельными ссылками. Теперь злоумышленники активно используют доверенные платформы, такие как Google Apps Script, чтобы обманывать пользователей. Эксперты Cofense Phishing Defense Center обнаружили новую кампанию, в которой мошенники рассылают письма, маскирующиеся под счета от реальных компаний. Вместо привычных поддельных сайтов жертвы попадают на страницу, размещенную на домене script[.]google[.]com, что создает ложное ощущение безопасности.

Описание

Атака начинается с письма, якобы отправленного от имени поставщика медицинского оборудования. В нем содержится ссылка на «просмотр счета», которая ведет на страницу, размещенную через Google Apps Script. На первый взгляд страница выглядит безобидно, но при нажатии кнопки «Preview» открывается фальшивое окно входа, имитирующее стандартную форму авторизации. Использование доверенного домена Google снижает бдительность жертвы, заставляя ее без колебаний вводить учетные данные.

После кражи логина и пароля злоумышленники перенаправляют пользователя на настоящую страницу входа Microsoft, чтобы скрыть следы атаки. Полученные данные могут быть использованы для доступа к корпоративным системам, что грозит утечкой конфиденциальной информации или финансовыми потерями.

Эта кампания демонстрирует, насколько изощренными стали методы фишинга. Злоумышленники все чаще используют легитимные сервисы, чтобы обойти защитные механизмы.

Индикаторы компрометации

IPv4

  • 142.251.16.103
  • 142.251.16.104
  • 142.251.16.105
  • 142.251.16.106
  • 142.251.16.147
  • 142.251.16.99
  • 167.250.5.66

URLs

  • https://script.google.com/macros/s/AKfyc.../exec?/owa/auth/logon.aspx?replaceCurrent=Fax_/outlook.office.com/mail/Vm1wR1lWVXITWGhXV0dST1ZsZG9WbGxVU2pSV2JGcHlWMjVrVldKSVFsaFdWelZMVWVWtkS1NWRnJXbGRTZWtZeldWUkdZV1JIVmtWUmJGcHGcHIWMjVrVldKSVFsaFdWelZMVWVWtkS1NWRnJXbGRTZWtZeldWUkdZV1JIVmtWUmJGcH BWa1paZWxZeFdtRlpWa2w1VWXod1lWSnRhSEJWYWTGNFRrWmtWMVWt6YUZSaVZscFl WbTAxVTJKR1NsVlNia0pYWVRKUUmVsUldXbHBsVlRWWIUyczVVMDfHY0V0V2JHUjNVVEp HYzFScldrNVNSWEJXVlRCa2VrMVdVbFzUYKvVwc1lrZDBOBpF0ZUhkFZscFhZbnBLVjAxdW FGUldNbk40VWpKT1lyRkZPVmROTUVWVmM1ZrWmtORk15VFhoVmEyaE9Va1phYzFadE5VS k5WbEYZvVWxFhhttps://outlook.office365.com/Encryption/msi2auth64
  • https://solinec.com/APi/1YjDl_aUXTsHrhxiufjU0fBe4d2wsameerm3wJl_LX.php
Комментарии: 0
Похожие записи
0
58 минут
Индикаторы компрометации

DarkGaboon: новая волна кибератак на российские компании с использованием шифровальщика LockBit

APT
Группа киберразведки PT ESC выявила активность ранее неизвестной APT-группировки DarkGaboon, которая с весны 2023 года атакует российские компании с целью финансового вымогательства.
0
2 часа
Индикаторы компрометации

Более 20 фишинговых приложений для кражи криптовалют обнаружены в Google Play Store

phishing
Специалисты Cyble Research and Intelligence Labs (CRIL) выявили более 20 вредоносных приложений в Google Play Store, которые маскируются под популярные криптокошельки, такие как SushiSwap, PancakeSwap, Hyperliquid и Raydium.
0
10 часов
Индикаторы компрометации

UNC1151 атакует Roundcube: кража учетных данных через уязвимость в веб-почте

phishing
CERT Polska зафиксировала целевую фишинговую кампанию против польских организаций, в ходе которой злоумышленники использовали уязвимость CVE-2024-42009 в почтовом клиенте Roundcube.
0
1 день
Индикаторы компрометации

GOFFEE возвращается: новые методы атак и способы защиты

security
В последние годы группировка GOFFEE (также известная как Paper Werewolf) неоднократно привлекала внимание экспертов по кибербезопасности. В конце мая 2025 года специалисты МТС RED Security SOC зафиксировали