book_icon

Pesquisa da Sophos aponta que cibercriminosos têm utilizado Google Forms para ataques

Os ciberataques via Google Forms vieram à tona enquanto pesquisávamos como o malware abusa da criptografia para ocultar suas atividades e comunicações      

Pesquisa da Sophos aponta que cibercriminosos têm utilizado Google Forms para ataques

A Sophos, empresa global em cibersegurança de próxima geração, publicou uma pesquisa intitulada “Phishing and Malware Actors Abuse Google Forms for Credentials, Data Exfiltration”, que descreve como os ciberataques — de golpistas iniciantes a avançados — fazem uso do Google Forms para implementar uma ampla variedade de ataques, visando organizações e indivíduos.

“Os ciberataques via Google Forms vieram à tona enquanto pesquisávamos como o malware abusa da criptografia para ocultar suas atividades e comunicações”, explica Sean Gallagher, Pesquisador Sênior de Ameaças da Sophos. “O Google Forms oferece aos ciberataques uma proposta atraente: eles são fáceis de implementar e têm a confiança de organizações e consumidores; o tráfego de e para o serviço é protegido com criptografia TLS (Transport Layer Security) para que não possa ser facilmente inspecionado pelos defensores; e toda a configuração fornece, essencialmente, uma infraestrutura de ataque gratuita”, completa.

O Google Forms oferece aos ciberataques uma proposta atraente: eles são fáceis de implementar e têm a confiança de organizações e consumidores  

“Nossa análise mostra que, embora a maioria dos abusos do Google Forms por ciberataques permaneça firme no espaço de phishing e spam de baixa qualificação, existem sinais crescentes de que os criminosos estão se aproveitando da plataforma para ataques mais sofisticados. Os exemplos da Sophos incluem invasores usando o Google Forms para exfiltrar dados e para comando e controle de malwares”.

Abaixo estão as sete maneiras identificadas por pesquisadores da Sophos sobre como cibercriminosos usam o Google Forms:

Phishing: apesar do fato de o Google alertar os usuários em todas as páginas de um formulário para não inserirem detalhes de senha, a Sophos encontrou vários exemplos em que os invasores tentaram convencer as vítimas a inserir suas credenciais em um Formulário Google organizado para se assemelhar a uma página de login. Esses formulários costumam estar vinculados a campanhas de spam mal-intencionadas;

 Campanhas de spam mal-intencionadas: uma das maiores fontes de links de Google Forms em spam são os links de “cancelamento de inscrição” em e-mails de marketing relacionados a golpes. A Sophos interceptou várias campanhas de phishing baseadas em spam que visavam contas online da Microsoft, incluindo o Office365. O spam alegou que as contas de e-mail dos destinatários estavam prestes a ser encerradas se não fossem verificadas imediatamente e ofereceu um link para um Formulário Google que pedia ao usuário para inserir suas credenciais da Microsoft. Essas páginas foram decoradas com gráficos da Microsoft, mas, ainda assim, era claramente um Formulário Google;

Roubo de dados de cartão de pagamento: golpistas básicos usam modelos de design prontos do Google Forms para tentar roubar dados de pagamento por meio de páginas falsas de comércio eletrônico “seguras”;

Aplicativos potencialmente indesejados (PUAs), como adware: os pesquisadores descobriram vários PUAs direcionados aos usuários do Windows. Esses aplicativos usam páginas do Google Forms clandestinamente, com as solicitações da web coletadas e enviadas automaticamente, sem a necessidade de interação do usuário;

 Interfaces de usuário falsas para aplicativos Android mal-intencionados: a Sophos encontrou alguns aplicativos Android mal-intencionados que faziam uso do Google Forms para capturar dados sem a necessidade de codificar um site back-end. A maioria deles era adware ou PUAs. Por exemplo, os pesquisadores descobriram o “SnapTube”, um aplicativo de vídeo que gera receita para o desenvolvedor por meio de fraude de publicidade na web e que inclui uma página do Google Forms para feedback do usuário;

 Remoção de dados: os pesquisadores descobriram uma série de ameaças mais sofisticadas que abusam do Google Forms. Isso incluía aplicativos maliciosos do Windows que usavam solicitações da web para páginas do Google Forms para “enviar” dados roubados de computadores para uma planilha do Google;

 Parte da infraestrutura mais ampla de ataque cibernético malicioso: a telemetria da Sophos detectou uma série de scripts do PowerShell interagindo com o Google Forms. A companhia foi capaz de criar um protótipo de como os scripts do PowerShell poderiam ser usados ​​para extrair dados de criação de perfil do Windows de um computador e enviá-los para um Formulário do Google automaticamente.

“O Google frequentemente fecha contas associadas a mau uso em massa de aplicativos, incluindo o Google Forms”, conta Gallagher. “No entanto, o tipo de uso direcionado de baixo volume do Forms por algum malware pode ficar fora do radar. Os especialistas de TI das empresas precisam estar alertas a essa ameaça e ter cuidado sempre que virem links para o Google Forms ou qualquer outro serviço legítimo que tente obter credenciais, e não devem confiar inerentemente no tráfego TLS para domínios ‘bons’, como docs.google. com”, conclui.

Os produtos da Sophos, incluindo o Intercept X para endpoints, protegem contra a maioria dos spams maliciosos que carregam campanhas de phishing baseadas em formulários e detectam os comportamentos de coleta de informações do sistema discutidos na nova pesquisa. Também é aconselhado aos consumidores a instalar uma solução de segurança, como o Sophos Home, nos dispositivos que eles e suas famílias usam para comunicações online e jogos para proteção contra malwares e ameaças cibernéticas.

As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.