ثغرة في Google Drive تسمح للهاكرز بخداعك لتثبيت برمجيات خبيثة
يمكن استغلال ضعف الأمان غير المذهل في Google Drive من قبل مهاجمي البرامج الضارة لتوزيع الملفات الخبيثة المتنايرة كمستندات أو صور شرعية ، مما يتيح الجهات الفاعلة السيئة أداء هجمات صيد الرمح نسبيًا مع معدل نجاح مرتفع. أحدث مشكلة أمنية - تُدرك Google ، لكن للأسف ، تركت غير مسبقة - في جانب "في".إدارة الإصدارات"الوظائف التي توفرها Google Drive والتي تتيح للمستخدمين تحميل وإدارة إصدارات مختلفة من ملف ، وكذلك في الطريقة التي توفر بها واجهتها إصدارًا جديدًا من الملفات للمستخدمين.
أحدث مشكلة أمنية – تُدرك Google ، لكن للأسف ، تركت غير مسبقة – في جانب “في”.إدارة الإصدارات“الوظائف التي توفرها Google Drive والتي تتيح للمستخدمين تحميل وإدارة إصدارات مختلفة من ملف ، وكذلك في الطريقة التي توفر بها واجهتها إصدارًا جديدًا من الملفات للمستخدمين.
من الناحية المنطقية ، يجب أن تسمح الإصدارات الإدارة وظيفيًا لمستخدمي Google Drive بتحديث إصدار أقدم من ملف مع إصدار جديد له امتداد الملف نفسه ، ولكن اتضح أنه ليس كذلك.
وفقًا لـ A. Nikoci ، مسؤول النظام من قبل المهنة الذي أبلغ عن العيوب إلى Google وتم الكشف عنه لاحقًا إلى Hacker News ، فإن المتأثر يسمح للمستخدمين بتحميل إصدار جديد مع أي ملحق ملف لأي ملف موجود على التخزين السحابي ، حتى مع تطبيق ضار.
كما هو موضح في مقاطع الفيديو التجريبية – والتي يشاركها نيكوشي حصريًا مع أخبار المتسللين – في القيام بذلك ، يمكن استبدال نسخة شرعية من الملف الذي تمت مشاركته بالفعل بين مجموعة من المستخدمين بملف ضار ، والذي لا يشير معاينته عبر الإنترنت إلى تغييرات تم إجراؤها حديثًا أو رفع أي إنذار ، ولكن عند تنزيله يمكن توظيف أنظمة مستهدفة.
وقال نيكوشي: “تتيح لك Google تغيير إصدار الملف دون التحقق مما إذا كان نفس النوع”. “لم يجبروا نفس التمديد.”
وغني عن القول ، أن المشكلة تترك الباب مفتوحًا لحملات صيد الرمح الفعالة للغاية التي تستفيد من انتشار الخدمات السحابية على نطاق واسع مثل Google Drive لتوزيع البرامج الضارة.
https://www.youtube.com/watch؟v=5WDQZJJICQ
https://www.youtube.com/watch؟v=-hu778vyoys
https://www.youtube.com/watch؟v=jfgrxow5tjm
يأتي التطوير في الوقت الذي تم إصلاح Google مؤخرًا عيب أمني في Gmail كان من الممكن أن يسمح ذلك لممثل التهديد بإرسال رسائل بريد إلكتروني مخادعة تحاكي أي عميل Gmail أو G Suite ، حتى عند تمكين سياسات أمان DMARC/SPF الصارمة.
المتسللين من البرامج الضارة يحبون Google Drive
عادةً ما تحاول عمليات الاحتيال التي تصيب الرمح خداع المستلمين في فتح مرفقات ضارة أو النقر على روابط غير ضارة على ما يبدو ، وبالتالي توفير معلومات سرية ، مثل بيانات اعتماد الحساب ، للمهاجم في هذه العملية.
يمكن أيضًا استخدام الروابط والمرفقات للحصول على المستلم لتنزيل البرامج الضارة غير المعروفة التي يمكن أن تتيح للمهاجم الوصول إلى نظام كمبيوتر المستخدم والمعلومات الحساسة الأخرى.
هذه القضية الأمنية الجديدة لا تختلف. من المفترض أن تكون ميزة تحديث ملفات Google Drive طريقة سهلة لتحديث الملفات المشتركة ، بما في ذلك القدرة على استبدال المستند بإصدار جديد تمامًا من النظام. بهذه الطريقة ، يمكن تحديث الملف المشترك دون تغيير الرابط الخاص به.
ومع ذلك ، دون أي التحقق من صحة ملحقات الملفات ، يمكن أن يكون لهذا عواقب وخيمة محتملة عندما ينتهي مستخدمو الملف المشترك ، والذين ، عند إخطار التغيير عبر بريد إلكتروني ، إلى تنزيل المستند وإصابة أنظمتهم عن غير قصد بالبرامج الضارة.
يمكن الاستفادة من مثل هذا السيناريو للتثبيت هجمات الحيتان، تكتيك التصيد الذي غالباً ما تستخدمه العصابات الإلكترونية المجرمة للتنكر كموظفين في الإدارة العليا في منظمة واستهداف أفراد محددين ، على أمل سرقة المعلومات الحساسة أو الوصول إلى أنظمة الكمبيوتر الخاصة بهم لأغراض جنائية.
والأسوأ من ذلك ، يبدو أن Google Chrome يثق ضمنيًا بالملفات التي تم تنزيلها من Google Drive حتى عندما يتم اكتشافها بواسطة برنامج مكافحة الفيروسات الأخرى على أنها ضارة.
تصبح الخدمات السحابية متجهًا للهجوم
على الرغم من عدم وجود دليل على أن هذا العيب قد تم استغلاله في البرية ، إلا أنه لن يكون من الصعب على المهاجمين إعادة عرضه لمصلحتهم نظرًا لكيف كانت الخدمات السحابية وسيلة لتسليم البرامج الضارة في العديد من هجمات صيد الرمح في الأشهر الأخيرة.
في وقت سابق من هذا العام ، Zscaler حددت حملة التصيد التي استخدمت Google Drive لتنزيل كلمة مرور سرقة POST POST POSTER.
الشهر الماضي ، أبحاث نقطة الاختيار و cofense تم تسليط الضوء على سلسلة من الحملات الجديدة التي لم يتم العثور على ممثلين للتهديدات ليس فقط باستخدام رسائل البريد الإلكتروني العشوائية لتضمين البرامج الضارة المستضافة على خدمات مثل Dropbox و Google Drive ولكن أيضًا استغلال خدمات التخزين السحابي إلى مضيف صفحات التصيد.
ESET ، في تحليل مجموعة evilnum apt، لاحظت اتجاهًا مشابهًا حيث تم استهداف شركات FinTech في أوروبا والمملكة المتحدة برسائل البريد الإلكتروني التي تصيب الرمح التي تحتوي على رابط إلى ملف مضغوط مستضاف على Google Drive لسرقة تراخيص البرمجيات ومعلومات بطاقة الائتمان العميل والاستثمارات والمستندات التجارية.
وبالمثل ، اكتشف Fortinet ، في حملة شوهدت في وقت سابق من هذا الشهر ، دليلًا على أ Covid-19- تحت عنوان التصيد إغراء التي حذرت من مستخدمي المدفوعات المتأخرة بسبب الوباء ، فقط لتنزيل Netwire Access Access Trojan المستضاف على عنوان URL لـ Google Drive.
مع قيام المحتالين والمجرمين بسحب كل التوقف لإخفاء نواياهم الخبيثة ، من الضروري أن يراقب المستخدمون عن كثب رسائل البريد الإلكتروني المشبوهة ، بما في ذلك إخطارات محرك Google ، للتخفيف من أي مخاطر محتملة.
