Phishing-Kampagne nutzt Googles Cloud-Dienste zum Diebstahl von Office-365-Anmeldedaten

Eine aktuelle Phishing-Kampagne hostet auf Googles Cloud-Diensten speziell gestaltete Dokumente, mit denen Cyberkriminelle die Anmeldedaten für Office-365-Konten abgreifen wollen. Sie folgen damit dem Trend, gefälschte Dokumente und auch Websites auf öffentlichen Cloud-Servern abzulegen, statt sie eigenen oder angemieteten Servern vorzuhalten.

Forscher von Check Point haben laut Bleeping Computer nun einen Angriff beschrieben, bei dem sich die Hacker auf Google Drive verließen, um ein schädliches PDF-Dokument zu verbreiten. Ihre Phishing-Website hosteten sie zudem auf Googles „storage.googleapis.com“.

Die PDF-Datei wurde so gestaltet, als würde sie als Zugang zu Inhalten dienen, die auf Microsofts SharePoint-Plattform verfügbar waren. Ein Opfer, dass auf den Link „Access Document“ klickte, landete auf der in der Google-Cloud gehosteten Phishing-Website. Sie forderte den Nutzer auf, seine Anmeldedaten für Office 365 einzugeben.

Check Point zufolge war der Angriff für Nutzer nur schwer zu erkennen, da alle verwendeten Ressourcen aus legitimen Quellen stammten. Eine Weiterentwicklung der Angriffsmethode nutze zudem den Google-Dienst Cloud Functions, der es erlaube, Code in der Cloud auszuführen. Dadurch könnten die Angreifer sogar die Herkunft der für die Phishing-Seite benötigten Inhalte verschleiern.

Ohne die Cloud Functions fanden die Forscher nämlich im Code der Phishing-Seite eine Domain der Angreifer, die wiederum zu einer IP-Adresse in der Ukraine gehörten soll. Das erlaubte es ihnen, eine Verbindung zu Aktivitäten der Hacker aus dem Jahr 2018 herzustellen, als sie ihre Phishing-Seiten noch direkt auf einer schädlichen Domain hosteten. Danach wechselten sie zu Microsoft Azure, bevor sie aktuell bei Googles Cloud-Angeboten landeten.

Inzwischen hat Google die fraglichen Inhalte von seinen Server entfernt. „Google untersucht Phishing-Seiten und sperrt sie aus, wenn wir durch Safe Browsing-Datenfeeds und andere direkte Berichte auf sie aufmerksam werden“, teilte das Unternehmen dem Bericht zufolge mit.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Chief Digital Officer an Bord

Es gibt einen Wandel in der Verantwortlichkeit für Informationstechnologie in Unternehmen. Zunehmend treten Chief Digital…

1 Tag ago

Digitale OT-Supply-Chain gefährdet

Operational Technology (OT) oder auf Deutsch die Steuerung von Produktionsanlagen gerät immer mehr ins Visier…

1 Tag ago

FBI warnt vor Diebstahl von Passwörtern per QR-Code

Cyberkriminelle haben es auch auf Finanzdaten abgesehen. Sie machen sich den Umstand zunutze, dass QR-Codes…

2 Tagen ago

Project: Opera stellt Browser für Krypto-Dienste vor

Im Mittelpunkt steckt die Web3-Integration. Project unterstützt Bitcoin, Celo, Ethereum und Nervos. Weitere Kryptowährungen sollen…

2 Tagen ago

Cybersicherheit ohne menschliches Zutun

Solid-State Drives (SSD) mit integrierter künstlicher Intelligenz (KI) bieten Hardware-Schutz vor Cyberangriffen. Jetzt gibt es…

2 Tagen ago

Netzwerkadministration wird zu Strategy First

Netzwerkadministratoren stehen dieses Jahr vor neuen Herausforderungen wie Zero Trust, Forderungen nach höherer Konnektivität und…

2 Tagen ago