Мошенники злоупотребляют Google App Engine для создания фишинговых страниц

Google App Engine фишинг вредоносное ПО
Мошенники злоупотребляют Google App Engine для создания фишинговых страниц
Google App Engine фишинг вредоносное ПО

Новый способ создания фишинговых страниц позволяет избежать блокировки, основанной на индикаторах взлома.

Исследователь безопасности Марсель Афрахим продемонстрировал способ, с помощью которого можно злоупотреблять службой хостинга сайтов и web-приложений Google App Engine для создания неограниченного количества фишинговых страниц, оставаясь при этом незамеченным.

Обычно мошенники используют облачные сервисы для создания вредоносного приложения, которому назначается поддомен. Затем они размещают там фишинговые страницы или могут использовать приложение в качестве C&C-сервера для доставки вредоносного ПО.

Но структуры URL-адресов обычно создаются таким образом, чтобы их можно было легко отслеживать и блокировать с помощью продуктов корпоративной безопасности. Таким образом, ИБ-специалист может блокировать трафик к конкретному приложению, просто блокируя запросы к определенному поддомену и от него.

Однако в случае с Google App Engine ситуация немного другая. Домен Google appspot.com, на котором размещены приложения, имеет следующую структуру URL — «VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com». В этом случае поддомен представляет собой не только приложение, но и поля версии приложения, имени службы, идентификатора проекта и идентификатора региона.

Если какое-либо из данных полей является неверным, Google App Engine не будет отображать страницу «404 Not Found», а вместо этого покажет страницу приложения по умолчанию.

Существует множество настроек поддоменов, позволяющих получить доступ к вредоносному приложению злоумышленника. Пока у каждого поддомена есть действительное поле «project_ID», недействительные варианты других полей могут использоваться по усмотрению злоумышленника для создания длинного списка поддоменов, которые все ведут к одному и тому же приложению.

Например, как продемонстрировал Афрахим, оба приведенных ниже URL-адреса, которые выглядят совершенно по-разному, представляют одно и то же приложение, размещенное на Google App Engine.

  • https[:]//random123-random123-random123-dot-bad-app-2020.ue.r.appspot

  • https[:]//insertanythingyouwanthere-xyz123-xyz123-dot-bad-app-2020.ue.r.appspot

Кроме того, большое количество вариантов поддоменов делает бесполезным подход к блокировке, основанный на индикаторах взлома.

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену

Новости по теме

Как хакеры могут перехватить вызовы 2FA с помощью скрытой переадресации вызовов

CISA открывает доступ к оружию властей против вирусов: Malware Next-Gen теперь доступен всем

Google против криптомошенничества: судебный иск должен остудить пыл китайских преступников

Google против фишинга: компания меняет правила отправки писем

Хакеры вымогают полмиллиарда у крупнейшего землевладельца России

Rhadamanthys возвращается: дорожно-транспортные происшествия стали новой приманкой для кражи данных

Киберудар по Латинской Америке: TA558 распространяет Venom RAT

Обманчивая CAPTCHA: Латинская Америка страдает от новых способов фишинга

Lazy Koala охотится на госслужащих: хакеры украли данные 867 сотрудников в России и СНГ