網絡犯罪分子越來越多地利用諸如Google Cloud Services之類的公共云服務來針對Office 365用戶進行網絡釣魚活動。

欺詐者通常會在多個云服務上托管釣魚網頁，并誘使受害者登陸這些網頁。

Check Point的研究人員發表了一份報告，詳細介紹了這個活動，該活動依賴于Google云端硬盤來托管惡意PDF文檔，然后利用Google的“ storage.googleapis [。] com”來托管網絡釣魚頁面。

通過使用Google Cloud或Microsoft Azure等著名的云服務，攻擊者可以輕松地繞過目標組織設置的防御措施。

攻擊鏈的起點是一個PDF文檔，該文檔已上傳到Google云端硬盤，并包含一個指向網絡釣魚頁面的鏈接。

此廣告系列中使用的網絡釣魚頁面位于storage.googleapis[.]com/asharepoint-unwearied-439052791 / index.html上，旨在誘騙受害者提供其Office 365登錄名或組織電子郵件。

選擇其中一個登錄選項后，將向受害者顯示一個帶有Outlook登錄頁面的彈出窗口。一旦輸入憑據后，用戶將被重定向到一家由著名的全球咨詢公司發布的真實PDF報告。

在所有這些階段中，由于網絡釣魚頁面托管在Google Cloud Storage上，因此用戶不會覺得可疑。但是，通過查看網絡釣魚頁面的源代碼后發現，大多數資源是從屬于攻擊者的網站上加載的，prvtsmtp [。] com 報告表示。

根據研究人員的說法，在最近的攻擊中，騙子們開始利用谷歌云服務功能，該服務允許在云中運行代碼。通過使用這種技術，攻擊者可以在不泄露域的情況下為網絡釣魚頁面加載資源。

“對prvtsmtp [。] com的調查顯示，它的解析為烏克蘭的IP地址(31.28.168 [。] 4)。與該網絡釣魚攻擊相關的許多其他域解析為相同的IP地址，或在同一網絡塊上的不同域。“

這使我們能夠洞悉攻擊者多年來的惡意活動，并讓我們了解他們是如何發展他們的活動和引進新技術的。

例如，早在2018年，攻擊者曾經直接在惡意網站上托管網絡釣魚頁面。后來，攻擊者利用Azure存儲來托管網絡釣魚頁面,在切換到谷歌云存儲之前.”

這一發現使專家可以將攻擊者的活動追溯到2018年，當時他們將釣魚網站直接托管在惡意網站上，然后再切換到Azure存儲，最后再轉移到谷歌云。

報告總結道：“這起事件彰顯了騙子和犯罪分子們為掩蓋其惡意的企圖而欺騙用戶的行為。”