В сети наблюдается новая масштабная волна фишинговых атак, в которой злоумышленники активно злоупотребляют легитимной инфраструктурой Google для обхода стандартных систем безопасности электронной почты. Как сообщают аналитики, атакующие регистрируют бесплатные учетные записи разработчиков на платформе Google Firebase, чтобы рассылать мошеннические письма, маскирующиеся под известные бренды. Используя высокую репутацию доменов Google, эти письма успешно достигают папок "Входящие" пользователей, минуя спам-фильтры.
Описание
Google Firebase - это популярная платформа для разработки мобильных и веб-приложений, предоставляющая в том числе бесплатные аккаунты для тестирования. Киберпреступники выяснили, что письма, отправленные через такие аккаунты, исходят с доверенных серверов Google. В текущей кампании атакующие регистрируют бесплатные аккаунты и используют их для массовой рассылки фишинговых писем. Эти сообщения обычно приходят с адресов, оканчивающихся на "firebaseapp.com". Поскольку технически письма отправляются через легитимный сервис Google, почтовые шлюзы безопасности (email security gateways) часто помечают их как безопасные.
Специалисты отмечают, что кампании опираются на два основных психологических триггера: страх и жадность. С одной стороны, жертвы получают срочные оповещения о якобы скомпрометированных банковских счетах или онлайн-профилях. Такие письма часто содержат предупреждения о "несанкционированном использовании учетной записи" и требуют немедленных действий для разблокировки. С другой стороны, распространены письма с фейковыми розыгрышами, где пользователям обещают бесплатные ценные призы от имени популярных розничных брендов. Цель - заставить пользователя перейти по ссылке для получения "выигрыша".
Как только пользователь кликает по ссылке в таком письме, он перенаправляется на вредоносный сайт, предназначенный для кражи конфиденциальных данных: логинов, паролей или номеров кредитных карт. Данные об этих тактиках были задокументированы исследователями из Palo Alto Networks.
Специалисты по информационной безопасности рекомендуют обращать внимание на конкретные паттерны в почтовом трафике. Злоумышленники часто используют случайно сгенерированные субдомены на платформе Firebase. Примеры адресов отправителей, замеченных в этой кампании, включают: "no*****@********99.firebaseapp[.]com", "no*****@*********8a.firebaseapp[.]com" и "no*****@**********ys.firebaseapp[.]com". Более того, ссылки внутри этих писем ведут на внешние фишинговые страницы. Исследователи идентифицировали несколько вредоносных URL, включая адреса, размещенные на "clouud.thebatata[.]org", а также сокращенные ссылки через сервис "rebrand[.]ly".
Для обеспечения безопасности эксперты советуют пользователям сохранять скептицизм в отношении любых непрошенных писем, даже если они приходят с респектабельного технического домена, такого как Firebase. Всегда необходимо тщательно проверять адрес отправителя. Если письмо утверждает, что оно от банка или магазина, но его адрес оканчивается на "firebaseapp.com", это почти наверняка мошенничество. Сетевые администраторы, в свою очередь, могут мониторить трафик на выявленные домены и рассмотреть возможность блокировки писем с неизвестных субдоменов Firebase, если их организация активно не использует эту платформу для разработки. Данный инцидент в очередной раз демонстрирует, как злоумышленники адаптируют свои методы, эксплуатируя доверие к инфраструктуре крупных технологических компаний для повышения эффективности атак.
Индикаторы компрометации
Domains
- clouud.thebatata.org
URLs
- http://clouud.thebatata.org/click.php?
- https://rebrand.ly/auj0ngh
- https://rebrand.ly/dijqjx6
- https://revoz.britishbushcraft.com/dashho.php?
- https://www.servercrowdmanage.com/5N98X9F/21NRJNSZ/
Emails
- no*****@********************pp.com
- no*****@********************pp.com
- no*****@********************pp.com
- no*****@*********************pp.com
- no*****@*********************pp.com
- no*****@*********************pp.com
- no*****@**********************pp.com
