Một điểm yếu bảo mật chưa được khắc phục trong Google Drive có thể bị những kẻ tấn công phần mềm độc hại lợi dụng để phân phối các tệp độc hại được ngụy trang dưới dạng tài liệu hoặc hình ảnh hợp pháp, cho phép những kẻ xấu thực hiện các cuộc tấn công lừa đảo tương đối với tỷ lệ thành công cao.
Vấn đề bảo mật mới nhất — mà Google đã biết nhưng rất tiếc, vẫn chưa được khắc phục — nằm trong “quản lý các phiên bản“chức năng do Google Drive cung cấp cho phép người dùng tải lên và quản lý các phiên bản khác nhau của tệp, cũng như theo cách giao diện của tệp cung cấp phiên bản mới của tệp cho người dùng.
Về mặt logic, các phiên bản quản lý theo chức năng sẽ cho phép người dùng Google Drive cập nhật phiên bản cũ hơn của tệp với phiên bản mới có cùng phần mở rộng tệp, nhưng hóa ra không phải vậy.
Theo A. Nikoci, một quản trị viên hệ thống chuyên nghiệp, người đã báo cáo lỗ hổng cho Google và sau đó tiết lộ nó với The Hacker News, về mặt chức năng, lỗi bị ảnh hưởng cho phép người dùng tải lên phiên bản mới với bất kỳ phần mở rộng tệp nào cho bất kỳ tệp nào hiện có trên bộ nhớ đám mây, thậm chí với một tệp thực thi độc hại.
Như được hiển thị trong các video demo — mà Nikoci đã chia sẻ độc quyền với The Hacker News — khi làm như vậy, một phiên bản hợp pháp của tệp đã được chia sẻ giữa một nhóm người dùng có thể bị thay thế bằng một tệp độc hại, mà khi xem trước trực tuyến thì không chỉ ra những thay đổi mới được thực hiện hoặc đưa ra bất kỳ cảnh báo nào, nhưng khi tải xuống có thể được sử dụng để lây nhiễm các hệ thống được nhắm mục tiêu.
Nikoci cho biết: “Google cho phép bạn thay đổi phiên bản tệp mà không cần kiểm tra xem nó có cùng loại hay không. “Họ thậm chí còn không buộc gia hạn tương tự.”
Không cần phải nói, vấn đề này mở ra cánh cửa cho các chiến dịch lừa đảo trực tuyến hiệu quả cao tận dụng sự phổ biến rộng rãi của các dịch vụ đám mây như Google Drive để phát tán phần mềm độc hại.
Sự phát triển đến khi Google gần đây đã sửa một lỗ hổng bảo mật trong Gmail điều đó có thể cho phép kẻ đe dọa gửi email giả mạo bắt chước bất kỳ khách hàng Gmail hoặc G Suite nào, ngay cả khi các chính sách bảo mật DMARC / SPF nghiêm ngặt được bật.
Tin tặc phần mềm độc hại thích Google Drive
Các trò lừa đảo bằng giọng nói thường cố gắng lừa người nhận mở các tệp đính kèm độc hại hoặc nhấp vào các liên kết dường như vô hại, do đó cung cấp thông tin bí mật, chẳng hạn như thông tin đăng nhập tài khoản, cho kẻ tấn công trong quá trình này.
Các liên kết và tệp đính kèm cũng có thể được sử dụng để khiến người nhận vô tình tải xuống phần mềm độc hại có thể cung cấp cho kẻ tấn công quyền truy cập vào hệ thống máy tính của người dùng và các thông tin nhạy cảm khác.
Vấn đề bảo mật mới này không có gì khác biệt. Tính năng cập nhật tệp của Google Drive được hiểu là một cách dễ dàng để cập nhật các tệp được chia sẻ, bao gồm khả năng thay thế tài liệu bằng một phiên bản hoàn toàn mới từ hệ thống. Bằng cách này, tệp được chia sẻ có thể được cập nhật mà không cần thay đổi liên kết của nó.
Tuy nhiên, không có bất kỳ xác thực nào cho phần mở rộng tệp, điều này có thể gây ra hậu quả nghiêm trọng tiềm ẩn khi người dùng tệp được chia sẻ, những người sau khi thông báo về thay đổi qua email, cuối cùng tải xuống tài liệu và vô tình lây nhiễm phần mềm độc hại vào hệ thống của họ.
Một kịch bản như vậy có thể được tận dụng để gắn kết các cuộc tấn công của cá voi, một thủ đoạn lừa đảo thường được các băng nhóm tội phạm mạng sử dụng để giả dạng nhân viên quản lý cấp cao trong một tổ chức và nhắm mục tiêu vào các cá nhân cụ thể, hy vọng đánh cắp thông tin nhạy cảm hoặc truy cập vào hệ thống máy tính của họ cho mục đích phạm tội.
Thậm chí tệ hơn, Google Chrome dường như ngầm tin tưởng các tệp được tải xuống từ Google Drive ngay cả khi chúng bị phần mềm chống vi-rút khác phát hiện là độc hại.
Dịch vụ đám mây trở thành một vector tấn công
Mặc dù không có bằng chứng cho thấy lỗ hổng này đã bị khai thác trong tự nhiên, nhưng sẽ không khó để những kẻ tấn công sử dụng lại nó vì lợi ích của chúng vì cách các dịch vụ đám mây đã trở thành phương tiện phân phối phần mềm độc hại trong một số cuộc tấn công lừa đảo trong những tháng gần đây.
Đầu năm nay, Zscaler đã xác định một chiến dịch lừa đảo đã sử dụng Google Drive để tải xuống một kẻ đánh cắp mật khẩu đăng thỏa hiệp ban đầu.
Tháng trước, Nghiên cứu điểm kiểm tra và Cofense nêu bật một loạt các chiến dịch mới, trong đó các tác nhân đe dọa được phát hiện không chỉ sử dụng email spam để nhúng phần mềm độc hại được lưu trữ trên các dịch vụ như Dropbox và Google Drive mà còn khai thác các dịch vụ lưu trữ đám mây để lưu trữ các trang lừa đảo.
ESET, trong một phân tích về Nhóm APT Evilnum, đã quan sát thấy một xu hướng tương tự trong đó các công ty fintech ở Châu Âu và Vương quốc Anh đã bị nhắm mục tiêu với các email lừa đảo có chứa liên kết đến tệp ZIP được lưu trữ trên Google Drive để lấy cắp giấy phép phần mềm, thông tin thẻ tín dụng của khách hàng cũng như các tài liệu đầu tư và giao dịch.
Tương tự như vậy, Fortinet, trong một chiến dịch được phát hiện vào đầu tháng này, đã phát hiện ra bằng chứng về một Lừa đảo theo chủ đề COVID-19 dụ người dùng cố tình cảnh báo người dùng về việc thanh toán bị chậm trễ do đại dịch, chỉ để tải xuống Trojan truy cập từ xa NetWire được lưu trữ trên URL Google Drive.
Với những kẻ lừa đảo và tội phạm đang tìm mọi cách để che giấu ý đồ xấu của chúng, điều cần thiết là người dùng phải theo dõi kỹ các email đáng ngờ, bao gồm cả thông báo của Google Drive, để giảm thiểu mọi rủi ro có thể xảy ra.
