Стратегия «репутационного перехвата» становится все более популярной среди злоумышленников. Они создают бизнес-аккаунты на уважаемых облачных сервисах, а затем используют их для размещения подготовленного вредоносного программного обеспечения. Атакуемые пользователи рассчитывают на безопасность площадки и теряют бдительность.
Аналитики Menlo Security на протяжении пяти месяцев отслеживали атаки на компании банковского и финансового сектора. Они обнаружили 4600 доменов с вредоносным ПО среди ста тысяч проанализированных сайтов на площадке Google Cloud Storage. Она используется самыми разными компаниями для размещения своих бизнес-инструментов.
Злоумышленники атаковали цели, начиная с распространения писем, в которых содержались ссылки на файлы с storage.googleapis.com. Жертвы видели, что документы находятся на доверенном ресурсе и открывали их без дополнительных проверок. В архивах .zip или .gz находились «трояны», заражающие клиентские компьютеры.
Несмотря на то, что вирусы не оригинальны и легко обнаруживаются сторонним защитным программным обеспечением, атаки были успешны по двум причинам. Во‑первых, Google не сканирует архивы на облачных хранилищах для бизнеса, если не включена эта опция принудительно. А во-вторых, клиентское антивирусное ПО зачастую не проверяет ссылки, если они не внесены в список подозрительных. Именно поэтому архивы не прикреплялись к письму, а лежали на серверах.
.jpg)
.jpg)