May 11, 2020

Přínos společnosti Google v boji s malwarem a spamem je ohromný. Bezpochyby můžeme říct, že Google nastavuje trendy ve filtraci e-mailů a nových vlastností přispívajících k redukci spamu. Na druhou stranu se spameři snaží obejít zabezpečení služeb Google a zneužít je k doručení spamu. Dnes se podíváme na způsob, jak zneužívají spammeři Google Drive pro spamové kampaně.

Ve Virusfree.cz jsme mezi 18. únorem 2020 a 8. dubnem 2020 zaznamenali 30 861 807 spamových e-mailů s 1958 unikátními linkami směřujícími na Google Drive, tyto byly zaslané z 48 341 IP adres. Také jsme se pokusili získat jednotlivé soubory, na které tyto linky směřovali, nejčastěji se jednalo o prezentace, které obsahovaly jenom jeden snímek s obrázkem nebo textem a další URL linkou. Analýzu adres jsme publikovali před několika týdny, mužete si ji přečíst zde >>>.

Počet unikátních linek směřujících na Google Drive links je nízký, hlavně kvůli komplikacím, kterým čelí útočníci zneužívající služby Google. Útočníci to vyvažují množstvím rozesílaného spamu s linkou vedoucí na Google Drive. Obrázek popisuje, jak je takový útok realizován.

Krok 1

Útočníci musí připravit cílovou útoční stránku (1), tu, která sa v případě úspěšného útoku spustí v prohlížeči uživatele. Útočníci nevystavují tuto stránku přímo, protože doména nebo hosting představují důležitou součást pro další spamové kampaně nebo útoky. Proto využívají jednu nebo více stránek s přesměrováním (2) a tak vytváří přesměrovací adresu (3). Zaznamenali jsme tři typy přesměrování: s použitím zkracovače, pomocí kompromitované webstránky nebo s použitím dedikované služby útočníků na přesměrování (vlastní nebo pronajaté).

Krok 2

V tomto kroku potřebují útočníci fungující Google účet (4), pomocí kterého zneužijí Google Drive (5). Útočník může účet vytvořit, ale domníváme se, že se využívají i kompromitované účty. Pak útočníci vytvoří na Google Drive dokument (6) s lákavým textem nebo obrázkem vedoucím na přesměrovací adresu (3). Pak tento dokument sdílejí a získají tak konkrétní URL adresu dokumentu (7), kterou pak využijí v dalším kroku.

Krok 3

Teď potřebují útočníci botnet pro spam (8). Jak jsme se již zmínili, zaznamenali jsme 48 341 unikátních IP adres pokoušejících se doručit spam s URL adresou dokumentu. Počet není vysoký, proto se domníváme, že útočníci si botnet pronajímají. Spamové emaily (9) jsou v tomto případě velmi jednoduché. Jejich detekce by pak měla proběhnout pomocí spamfiltrů (10).

Tady ale leží vysvětlení, proč útočníci zneužívají linky směřující na Google Drive. Mnoho společností totiž jednoduše whitelistuje všechny emaily, které obsahují linky online služeb s vyšší reputací, bez ohledu na odesílatele (e-mailová adresa nebo IP adresa), protože tyto služby jsou využívány jejich interními uživateli. Tady si sdílejí i interní dokumenty, někteří jsou i zákazníky těchto služeb. Proto blokování adres může tyto služby pro interní použití znefunkčnit.

Když je spam doručen do schránky, uživatel musí kliknout (11) na URL adresu dokumentu (7) v těle emailu. Otevře se tak dokument uložen na Google Drive (12) s obrázkem nebo textem a přesměrovací adresou (3). Pokud by uživatel kliknul (13) i na tuto adresu, stránka ho přesměruje na cílovou útoční stránku (14), kde se tato spustí v prohlížeči uživatele (15). Výsledným dopadem (16) pak může být třeba spam propagující léky (pharmacy spam), phishing, malware, nebo prakticky jakýkoliv typ e-mailové nebo online hrozby.

Závěr

Tyto scénáře jsou velice rozšířené. Zneužívání ve velkém objemu se netýká jenom služeb Google, ačkoliv je to jedna z nejzneužívanějších služeb. Ve Virusfree.cz vidíme také linky směrující na služby Microsoft, Dropbox a další. Uživatelská interakce je nutná, nicméně popularita těchto útoků napovídá, že jsou pravděpodobně úspěšné. Pokud máte zájem o přístup k datům o hrozbách jako například seznam URL adres, které doručují botnety, nebo chcete získat přístup k našemu plnému RBL (obsahující více než 13 milionů IP adres), kontaktujte nás.