Zespół Aryaka Threat Research Labs opublikował raport Scam in the Cloud: How Fraudsters Exploit Google Cloud Storage (GCS) for Deceptive Campaigns, w którym opisano nową falę zaawansowanych kampanii phishingowych. Cyberprzestępcy wykorzystują w nich Google Cloud Storage jako zaplecze techniczne do hostowania stron oszukańczych i realizacji wieloetapowych przekierowań. Ataki mają charakter finansowy i coraz częściej są wspierane przez narzędzia AI.
Według autorów raportu, oszuści nadużywają zaufania, jakim użytkownicy darzą domeny Google. Wiadomości phishingowe podszywają się pod popularne usługi, takie jak Gmail czy Google Drive, posługując się profesjonalnym językiem i wiarygodnymi tematami e-maili, np. informacjami o rzekomym zakończeniu subskrypcji.
Kluczowym elementem kampanii są odnośniki prowadzące do plików HTML hostowanych bezpośrednio w Google Cloud Storage. Po otwarciu uruchamiają one w przeglądarce użytkownika skrypty JavaScript, które przekierowują ofiary na kolejne etapy cyberataku. Mechanizm ten pozwala omijać klasyczne filtry URL i skanery treści, bazujące na analizie statycznej.
Łańcuch przekierowań często zawiera również testy CAPTCHA, które mają utrudnić automatyczną analizę i jednocześnie zwiększyć wiarygodność strony w oczach użytkownika. Ostatecznie ofiary trafiają na fałszywe portale z „nagrodami” lub „bonusami”, gdzie są zachęcane do rejestracji i wpłaty środków.
Raport wskazuje też na zaawansowane zbieranie danych o użytkownikach i ich przeglądarkach. Informacje te są przesyłane do popularnych platform analitycznych, takich jak Mixpanel, Google Analytics czy Amplitude, co pozwala przestępcom monitorować skuteczność kampanii i optymalizować kolejne ataki.
Zdaniem Aryaka, istotnym problemem jest omijanie zabezpieczeń poczty elektronicznej. Wiadomości przechodzą weryfikację SPF, ale nie zawierają podpisów DKIM, a brak lub słaba polityka DMARC po stronie nadawcy sprawia, że e-maile wyglądają na legalne zarówno dla użytkowników, jak i systemów bezpieczeństwa.
Firma poinformowała, że zgłosiła wykryte nadużycia do Google Cloud oraz współpracowała z zespołem Proofpoint Emerging Threats w celu aktualizacji mechanizmów detekcji. Eksperci podkreślają, że przypadek ten pokazuje ewolucję cyberprzestępczości, w której legalne platformy chmurowe stają się częścią powierzchni ataku, znacząco utrudniając wykrywanie oszustw.
