В рамках фишинговой кампании хакеры используют приглашения Google Calendar и страницы Google Drawings для кражи учётных данных, обходя спам-фильтры.
По данным Check Point, которая отслеживает фишинговую атаку, злоумышленники нацелились на 300 брендов, отправив более 4000 писем за четыре недели.
Атаки были направлены на широкий круг компаний, включая образовательные учреждения, службы здравоохранения, строительные фирмы и банки.
Сначала злоумышленники используют Google Calendar для отправки приглашений на встречи, которые выглядят довольно безобидно. В эти приглашения встроена ссылка, ведущая на Google Forms или Google Drawings, а уже там пользователю предлагают нажать на другую ссылку, обычно замаскированную под reCaptcha или кнопку поддержки.
Исследователи сообщили BleepingComputer, что использование служб Google Calendar позволит обходить спам-фильтры, поскольку приглашения приходят от законного сервиса Google.
Исследователи поделились изображением заголовков электронных писем, показывающим, что они прошли проверки безопасности электронной почты DKIM, SPF и DMARC.
Чтобы удвоить количество отправляемых фишинговых писем, злоумышленники также могут отменить мероприятие Google Calendar и сообщить об этом адресатам.
Фишинг с помощью Google Calendar не является чем-то новым. Ранее Google развернула защиту, позволяющую пользователям блокировать такие типы приглашений. Однако, если администратор Google Workspace не включит эту защиту, то пользователи по-прежнему будут получать автоматически добавляемые в свои календари приглашения.
Check Point рекомендует с осторожностью относиться ко всем полученным приглашениям на встречи и игнорировать ссылки от неподтверждённых отправителей.
Ранее эксперты выявили новый метод обхода технологий изоляции браузеров, который позволяет злоумышленникам организовывать C2-коммуникации с использованием QR-кодов. Метод использует QR-коды для передачи команд. Визуальное отображение QR-кода на странице проходит через изоляцию браузера, позволяя вредоносному ПО на заражённом устройстве считывать и декодировать его содержимое.
Источник новости: habr.com
