Стратегія «репутаційного перехоплення» стає все більш популярною серед зловмисників. Вони створюють бізнес-акаунти на шановних хмарних сервісах, а потім використовують їх для розміщення підготовленого шкідливого програмного забезпечення. Атаковані користувачі розраховують на безпеку майданчики і втрачають пильність.
Василь Парфьонов
Аналітики Menlo Security протягом п’яти місяців відстежували атаки на компанії банківського і фінансового сектора. Вони виявили 4600 доменів з шкідливим ПЗ серед ста тисяч проаналізованих сайтів на майданчику Google Cloud Storage. Вона використовується самими різними компаніями для розміщення своїх бізнес-інструментів.
Зловмисники атакували цілі, починаючи з поширення листів, в яких містилися посилання на файли з storage.googleapis.com. Жертви бачили, що документи знаходяться на довіреній ресурсі і відкривали їх без додаткових перевірок. В архівах .zip або .gz перебували «трояни», заражають клієнтські комп’ютери.
Незважаючи на те, що віруси не оригінальні і легко виявляються стороннім захисним програмним забезпеченням, атаки були успішні з двох причин. По‑перше, Google сканує архіви на хмарних сховищах для бізнесу, якщо не включена ця опція примусово. А по-друге, клієнтське антивірусне ПЗ, найчастіше, не перевіряє посилання, якщо вони не внесено до списку підозрілих. Саме тому архіви не прикріплювалися до листа, а лежали на серверах.
Thanks!
Our editors are notified.