В мире информационной безопасности фишинг давно перестал быть примитивной рассылкой поддельных писем. Современные угрозы все чаще маскируются под легитимный трафик, используя доверенные облачные сервисы и популярные платформы. Исследователи компании Group-IB обнаружили масштабную схему под кодовым названием GTFire, в которой злоумышленники систематически злоупотребляют инфраструктурой Google для размещения фишинговых страниц, обхода систем защиты и хищения учетных данных тысяч жертв по всему миру.
Описание
Схема работы: доверенные сервисы как оружие
Кампания GTFire построена на двух ключевых компонентах экосистемы Google. Во-первых, для размещения фишинговых страниц используется Google Firebase, а точнее, его бесплатный хостинг на поддоменах "*.web.app". Во-вторых, для маскировки вредоносных ссылок и обхода фильтров безопасности применяется сервис Google Translate. Объединяя эти сервисы, атакующие создают ссылки, которые выглядят безобидно, пользуются репутацией Google и в конечном итоге перенаправляют жертву на поддельную страницу входа, имитирующую бренд известной организации.
Особенность схемы заключается в многоступенчатой цепочке перенаправлений. Жертва получает ссылку на домен "translate.goog", которая ведет через прокси-сервер Google Translate. Только после прохождения этого слоя браузер загружает конечную фишинговую страницу, размещенную на Firebase. Такой подход эффективно скрывает истинный источник угрозы от систем электронной почты и веб-шлюзов, основанных на репутации доменов.
Глобальный масштаб и последствия
Анализ инфраструктуры управления и контроля, используемой злоумышленниками, показал устрашающие масштабы операции. Были обнаружены данные тысяч скомпрометированных учетных записей, принадлежащих более чем тысяче организаций из сотни стран. Наиболее пострадавшей страной стала Мексика (385 жертв), за ней следуют США (101), Испания (67), Индия (54) и Аргентина (50). Под удар попали компании из сфер производства, образования, государственного управления и многих других отраслей.
Рабочий процесс сбора учетных данных отточен для минимизации подозрений. После ввода логина и партрасля фишинговой страницы пользователь видит сообщение об «ошибке» и просьбу ввести пароль повторно. При этом оба введенных набора учетных данных незаметно перехватываются и отправляются на серверы злоумышленников. Затем жертва перенаправляется на настоящий сайт имитируемой организации, что создает иллюзию простой технической неполадки и задерживает обнаружение инцидента.
Инфраструктура и технические детали
Злоумышленники регистрируют большое количество поддоменов "*.web.app" со случайно сгенерированными именами, что позволяет быстро обновлять инфраструктуру и минимизировать затраты. Фишинговые страницы динамически загружают шаблоны, соответствующие целевому бренду, что обеспечивает масштабирование атаки на разные организации и регионы.
Для передачи украденных данных используется простая, но эффективная техника: учетные данные и метаинформация (например, страна и язык браузера жертвы) отправляются на C2-сервер через параметры HTTP GET-запроса. Пароли при этом кодируются в Base64. В основе backend-логики лежат коммерческие PHP-скрипты типа «All-in-1», что упрощает развертывание и автоматизацию кампании. Серверы управления работают на веб-сервере LiteSpeed, а украденные данные организованно хранятся в директориях, сгруппированных по дате, языку и целевому сервису, что указывает на зрелый операционный процесс.
Рекомендации для специалистов по защите
Кампания GTFire наглядно демонстрирует, что традиционные методы защиты, основанные на черных списках доменов и репутации, становятся неэффективными, когда злоумышленники используют легитимные платформы. Вместо этого необходим переход к более продвинутым стратегиям обнаружения.
В первую очередь, следует обращать внимание на аномальные паттерны в использовании доверенных сервисов. Например, массовая регистрация случайных поддоменов "web.app" или необычно высокий трафик с доменов "translate.goog" на внутренние ресурсы могут быть индикаторами компрометации. Мониторинг сетевой активности должен включать анализ полных цепочек перенаправлений, а не только конечных точек.
Кроме того, критически важно внедрять многофакторную аутентификацию (MFA) везде, где это возможно, поскольку она значительно снижает ценность украденных учетных данных. Не менее важна регулярная тренировка осведомленности пользователей, которые должны настороженно относиться к любым ссылкам, даже ведущим на известные домены, и проверять адресную строку перед вводом конфиденциальной информации.
Вывод
Случай GTFire - это тревожный сигнал для всего сообщества кибербезопасности. Он показывает, как низкий порог входа (бесплатные сервисы, готовые скрипты) в сочетании с креативным злоупотреблением доверием позволяет организовать глобальные атаки с высокой эффективностью. Защита теперь должна строиться на принципах «не доверяй, проверяй» даже в отношении трафика от крупнейших технологических компаний, а фокус смещаться в сторону поведенческого анализа и активного поиска угроз.
Индикаторы компрометации
Domains
- gnpnia.lat
- jnhwzs.fyi
