Aggiornato il: 20-02-2020 22:59
Se è vero che moltissime aziende stanno migrando sul cloud i propri servizi online, al fine di creare ambienti di lavori sicuri e flessibili, resta vero che, in parallelo, moltissimi truffatori si stanno adeguando ad usare questi servizi per propinare vari tipi di inganni in rete. I servizi di file storage, in particolare, sono particolarmente colpiti da questa evenienza, ed in molti casi possono evidenziare rischi per la sicurezza: è il caso di Google Drive, l’utilizzatissimo servizio online che è stato sfruttato sulla scia di un precedente analogo documentato dal blog della Symantec. Non c’è una vera e propria falla in questo caso, in quanto il servizio di Google viene usato solo come parte di vettore d’attacco (il caso è stato già segnalato all’azienda, a quanto risulta).
In questo caso, il vettore di attacco è una comune email in cui è presente un link ad un Google Document, che non bisogna cliccare in nessun caso (nemmeno se il mittente è noto, visto che potrebbe essere vittima a sua volta di un attacco).
Il blog elastica.net documenta che, a questo punto, si viene dirottati su una pagina che evoca in tutto e per tutto il login di Google, e che viene utilizzato al solo scopo di rubare username e password dell’utente. Bisogna quindi diffidare da questo genere di richieste, in qualsiasi momento possano arrivare, e tenere sempre un antivirus aggiornato.
La pagina truffa viene in questo caso ospitata su Google Drive:
e contiene codice Javascript offuscato due volte (al fine di essere “invisibile” ai motori di ricerca) che poi punta ad una pagina PHP che opera probabilmente l’acquisizione malevola di dati (exfiltration).
Di fatto, chiunque avesse fornito per errore le proprie credenziali Gmail con questo meccanismo, farebbe bene a cambiare quanto prima password e ad abilitare l’autenticazione a due fattori.
