СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
15 марта
#ИБ#Облака

Фишинг через облачное хранилище Google и домены .autos

Недавний анализ выявил продолжающуюся масштабную фишинговую кампанию, в которой злоумышленники используют инфраструктуру облачного хранилища Google как центр распределения трафика и перенаправляют жертв на мошеннические сайты преимущественно в домене верхнего уровня .autos. Механизм отличается высокой адаптивностью, быстрым развёртыванием одноразовых доменов и тактическими приёмами по сбору конфиденциальной информации.

«Ключевым аспектом этой кампании является централизованная страница облачного хранилища Google, которая функционирует как центр распределения трафика.»

Ключевые наблюдения

  • Центральная страница в облачном хранилище Google служит хабом для перенаправлений на множество сайтов фишинга.
  • Основная площадка для фишинга — домен верхнего уровня .autos, в рамках которого злоумышленники развёртывают многочисленные одноразовые поддомены и страницы.
  • Тематики мошенничества разнообразны: поддельные опросы и обещания вознаграждений, ложные уведомления об антивирусной угрозе, фальшивые предложения о работе и прочие социально-инженерные схемы.
  • После прохождения опроса или подтверждения «выигрыша» жертву просят оплатить небольшую сумму за доставку, вводя данные кредитной карты — ключевая цель кампании.
  • Зафиксирован высокий объём рассылок: в отдельные дни появлялось по 40–50 фишинговых писем с ссылками на Google-редиректы.
  • Механизм перенаправителя реализует ограничение доступа с одного и того же IP: последующие попытки с того же IP могут привести к ошибкам или случайным перенаправлениям — характерный элемент управления трафиком и маскировки.

Как работает схема

Атака строится по следующей схеме:

  • Рассылка фишинговых писем с ссылкой на страницу в облачном хранилище Google.
  • Переход по ссылке попадает на специализированную страницу в Google Cloud, которая перенаправляет пользователя на один из множества сайтов в домене .autos.
  • На целевом сайте демонстрируется заранее выбранный сценарий: опрос с обещанием вознаграждения, «ошибка безопасности» или вакансия, склоняющие к передаче личных данных.
  • После «завершения» опроса/подтверждения пользователя просят ввести платёжные данные для «оплаты доставки» или «подтверждения выигрыша» — именно это и является основной целью злоумышленников.
  • Бэкэнд позволяет менять тему мошенничества «на лету», поэтому в одном и том же домене могут сосуществовать разные сюжеты, что затрудняет поиск однотипных индикаторов компрометации.

Технические особенности, которые усложняют детекцию

  • Централизованный редирект через Google Cloud: использование доверенного облачного сервиса затрудняет выявление на уровне почтового клиента или браузера.
  • Много одноразовых доменов в .autos: частая смена адресов поддерживает долгоживучесть кампании и усложняет блокировку.
  • Ограничения по IP: фильтрация/распределение трафика по IP приводит к нестабильному поведению для исследователей и жертв, что помогает злоумышленникам избежать однозначного профилирования.
  • Высокая скорость рассылок: десятки сообщений в день усиливают шанс успешной компрометации при низком уровне внимательности пользователей.

Риски для пользователей и организаций

  • Финансовые потери вследствие ввода данных платежной карты (без гарантий возврата).
  • Кража персональных данных и последующее использование для identity theft или дальнейших мошенничеств.
  • Усложнение расследований и инцидент-реакции из‑за адаптивной природы инфраструктуры и одноразовых доменов.
  • Ложное ощущение безопасности у пользователей из‑за использования доверенного сервиса Google для редиректа.

Рекомендации

Для пользователей:

  • Не вводите данные кредитной карты на сайтах, которые вы попали через подозрительные письма или ссылки.
  • Проверяйте URL в адресной строке и домен отправителя электронного письма; будьте внимательны к одноразовым поддоменам в .autos.
  • Не доверяйте «вознаграждениям» и «оплате доставки» без независимой проверки источника.
  • Включите 2FA и используйте виртуальные или одноразовые платежные методы там, где это возможно.
  • Сообщайте о подозрительных письмах службе безопасности вашей организации и провайдеру почты.

Для команд по безопасности и провайдеров:

  • Мониторьте почтовый трафик на предмет ссылок, использующих редиректы через Google Cloud, и повышайте приоритет расследования доменов .autos.
  • Внедрите и поддерживайте SPF, DKIM и DMARC; используйте фильтры и эвристики для распознавания социальных инженерных сценариев.
  • Настройте блокировку или тщательную проверку одноразовых поддоменов и паттернов поведения, характерных для фишинга (быстрые смены контента, IP‑ограничения и т.п.).
  • Сотрудничайте с регистраторами доменов и поддержкой Google для оперативного удаления злоумышленнических страниц и редиректов.
  • Проводите threat hunting и анализ IOC, включая шаблоны URL, заголовки писем и поведенческие индикаторы.

Вывод

Описание кампании показывает хорошо организованную и адаптивную операцию фишинга: злоумышленники комбинируют доверенные сервисы (Google), массовые рассылки и одноразовые домены в .autos, чтобы эффективно собирать платёжные и персональные данные. Высокая скорость рассылок и динамическая смена тем мошенничества требуют от пользователей повышенной бдительности, а от команд по безопасности — проактивных мер мониторинга и тесного взаимодействия с провайдерами услуг и регистраторами доменов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: