فریب کاربران از طریق گوگل درایو

توزیع فایل های مخرب و پنهان شده به عنوان اسناد یا تصاویر قانونی، یکی از ضعف های امنیتی و بدون نمایش در  گوگل درایو است که توسط بدافزار ها مورد سوء استفاده قرار می گیرد و به هکر ها اجازه می دهد که phishing attacks را با موفقیت بالایی انجام دهند.

آخرین مسئله امنیتی که گوگل از آن آگاه است، اما متاسفانه برای اصلاح آن حرکتی انجام نداده است مربوط به قابلیت مدیریت نسخه ها و فایل ها در Google Drive است که به کاربران امکان آپلود و مدیریت نسخه های مختلف فایل ها را می دهد. منطقی است که گوگل درایو باید به کاربران اجازه دهد نسخه قدیمی تر یک نسخه را با نسخه جدیدی که دارای پسوند یا نام مشابه است، بروزرسانی کند، اما معلوم شد که اینگونه نیست.

یک مدیر حرفه ای سیستم به نام A. Nikoci که این نقص را به گوگل گزارش داده و بعداً آن را برای The Hacker News افشا کرد گفت که گوگل درایو به کاربران امکان می دهد تا نسخه جدیدی را با هر پسوندی برای هر پرونده ی موجود در حافظه ابری بارگذاری کند.

همانطور که در فیلم های نسخه ی نمایشی نشان داده شده است، که A. Nikoci در این کار منحصراً با The Hacker News shared به اشتراک گذاشت ، نسخه مشروع پرونده ای که قبلاً در میان گروهی از کاربران به اشتراک گذاشته شده است می تواند با یک فایل مخرب جایگزین شود، که در هنگام پیش نمایش آنلاین انجام نمی شود.

Nikoci گفت : گوگل درایو به شما امکان می دهد نسخه پرونده را تغییر دهید بدون اینکه بررسی کند آیا نوع شبیه آن است یا خیر. نیازی به گفتن نیست، این مسئله باعث می شود که کمپین های بسیار مؤثر مانند فیشینگ از این شرایط برای توزیع بدافزار در فضاهای ابری مانند Google Drive سوء استفاده کنند. این پیشرفت زمانی صورت می گیرد که Google اخیراً نقص امنیتی را در Gmail برطرف کرده است که می تواند به هکر اجازه دهد تا حتی وقتی سیاست های سختگیرانه امنیتی DMARC / SPF را فعال کنید، ایمیل های جعلی را برای تقلید از هر مشتری Gmail یا G Suite ارسال کند.

هکرهای مخرب Google Drive را دوست دارند

کلاهبرداری های فیشینگ فیشر معمولاً تلاش می کنند تا گیرندگان را برای باز کردن پیوست های مخرب یا کلیک بر روی پیوندهای به ظاهر بی شرمانه ، فریب دهند و از این طریق اطلاعات محرمانه مانند اعتبار حساب را برای مهاجم در این فرآیند فاش کنند. همچنین از پیوندها و پیوست ها می توان برای استفاده ناخواسته از بدافزارها استفاده کرد که به مهاجمان امکان دسترسی به سیستم رایانه ای کاربر و سایر اطلاعات حساس را می دهد.

این مسئله امنیتی جدید هیچ تفاوتی ندارد. از ویژگی های به روزرسانی فایل Google Drive  می توان راهی آسان برای به روزرسانی فایل های اشتراکی از جمله امکان جایگزینی سند با نسخه کاملاً جدید از سیستم دانست. با این روش ، فایل اشتراکی بدون تغییر پیوند آن قابل بروزرسانی است.

با این حال ، بدون هیچ گونه اعتبار سنجی برای پسوند پرونده ها، این می تواند عواقب بالقوه جدی در هنگام استفاده کاربران داشته باشد، که پس از اطلاع از تغییر از طریق ایمیل، در پایان بارگیری این سند را بارگیری کرده و ناخواسته سیستم های خود را با بدافزار آلوده می کنند.

چنین سناریویی می تواند برای whaling attacks مورد استفاده قرار گیرد، یک تاکتیک فیشینگ که اغلب توسط باندهای سایبری جنایتکار صورت می گیرد تا به عنوان پرسنل ارشد مدیریتی در یک سازمان مورد هدف قرار گیرند و افراد خاصی را هدف قرار دهند ، به امید سرقت اطلاعات حساس و یا دستیابی به سیستم های رایانه ای خود برای اهداف جنایی. از این بدتر، به نظر می رسد که Google Chrome به فایلهای بارگیری شده از Google Drive اعتماد می کند حتی وقتی نرم افزار های ضد ویروس فایل ها را به عنوان مخرب تشخیص می دهند.

خدمات ابری تبدیل به یک بردار حمله می شوند

اگرچه هیچ مدرکی مبنی بر سوء استفاده از این نقص  وجود ندارد، اما حدس این مورد با توجه به اینکه سرویس های ابری اخیرا محیط مناسبی برای گسترش بدافزارها در چندین حمله phishing attacks بوده اند، دشوار نیست.

Zscaler در اوایل سال جاری، یک برنامه فیشینگ را شناسایی کرد که با استفاده از Google Drive ، پس از بارگیری اولیه رمز عبور را سرقت میکرد. ماه گذشته،Check Point Research و Cofense مجموعه ای از حملات جدید را شناسایی کردند که در آن مهاجمان نه تنها با استفاده از ایمیل های اسپم، بلکه از خدمات ذخیره سازی ابری برای جاسازی نرم افزارهای مخرب میزبانی شده در سرویس هایی مانند Dropbox و Google Drive استفاده می کردند.

ESET  در تحلیلی از گروه Evilnum APT ، روند مشابهی را مشاهده کرد که در آن شرکتهای fintech در اروپا و انگلستان با ایمیل های phishing attacks که شامل یک پرونده ZIP است که در گوگل درایو برای سرقت مجوزهای نرم افزاری، اطلاعات کارت و سرمایه گذاری ها و اسناد تجاری استفاده می شود. به همین ترتیب،Fortinet ، شواهدی از فریب دادن فیشینگ با موضوع COVID-19 را کشف کرد که به طور قاطع فقط برای دسترسی از راه دور NetWire Trojan که بر روی URL گوگل درایو میزبانی شده است، به کاربران نسبت به تأخیر در پرداخت به دلیل همه گیر بودن این بیماری هشدار داد.

با دستگیری کلاهبرداران و مجرمان، همه موارد متوقف شده است، اما با هم ضروری است که کاربران برای کاهش خطرات احتمالی ، ایمیل های مشکوک از جمله اعلان های Google Drive  را نگه دارند.