GTFire phishing-kampány
A Group-IB a GTFire phishing-kampányt elemzi, amely jól szemlélteti, hogyan tudnak a modern támadók megbízható, legitim felhőszolgáltatásokat fegyverként használni a védelmi eszközök és szűrők megkerülésére.
A GTFire kampány főként a Google-hoz tartozó Firebase hostingot kihasználva hoz létre nagy volumenű adathalász-oldalakat, a támadók nagyszámú, véletlenszerű nevekkel létrehozott .web.app aldomainre helyeznek el hamis bejelentkező űrlapokat, amelyek a célzott szervezetek vizuális megjelenését használják, így a felhasználó könnyen azt hiszi, hogy valódi belépési oldalra került. Mivel a Firebase domainjei jó hírűek, az ilyen oldalak gyakran átjutnak a hagyományos URL-alapú szűrőkön és e-mail biztonsági megoldásokon is, ezzel jelentősen növelve a sikeres adathalászat esélyét.
A kampány a Google Translate átirányító funkcióját használja védelmi pajzsként a phishing linkek nem közvetlenül a hamis oldalra mutatnak, hanem egy translate.goog URL-en keresztül irányítják a felhasználót, ami tovább csökkenti az észlelhetőséget és elrejti a valódi rosszindulatú célhelyet a szűrők elől.
A Group-IB kutatói szerint ez a módszer több mint 120 egyedi phishing domaint és több mint 1 000 szervezet elleni támadást fed fel, több mint 100 országot és 200 iparágat érintve világszerte. A hitelesítési adatok begyűjtése után a kampány gyakran a gyanútlan felhasználót visszairányítja az eredeti, valódi bejelentkező oldalra, így a kompromittálás észlelése tovább késik, és a felhasználó nem gyanakszik az adatai eltulajdonítására.
