Cibercriminosos usam Google Forms para lançar ataques de malware e phishing, alerta Sophos
Empresa de cibersegurança lista sete maneiras como hackers têm utilizado plataforma do Google
Desde golpistas iniciantes aos mais avançados veem no Google Forms uma plataforma para implementar uma ampla variedade de ataques, visando organizações e indivíduos, alertou a pesquisa “Phishing and Malware Actors Abuse Google Forms for Credentials, Data Exfiltration” realizada pela Sophos.
“Os ciberataques via Google Forms vieram à tona enquanto pesquisávamos como o malware abusa da criptografia para ocultar suas atividades e comunicações”, explica Sean Gallagher, Pesquisador Sênior de Ameaças da Sophos. “O Google Forms oferece aos ciberataques uma proposta atraente: eles são fáceis de implementar e têm a confiança de organizações e consumidores; o tráfego de e para o serviço é protegido com criptografia TLS (Transport Layer Security) para que não possa ser facilmente inspecionado pelos defensores; e toda a configuração fornece, essencialmente, uma infraestrutura de ataque gratuita”, completa.
A análise da Sophos mostra que, embora a maioria dos abusos do Google Forms por ciberataques permaneça firme no espaço de phishing e spam de baixa qualificação, existem sinais crescentes de que os criminosos estão se aproveitando da plataforma para ataques mais sofisticados. Os exemplos incluem invasores usando o Google Forms para exfiltrar dados e para comando e controle de malwares”.
Abaixo, sete maneiras identificadas por pesquisadores da Sophos sobre como cibercriminosos usam o Google Forms:
Phishing
Apesar do fato de o Google alertar os usuários em todas as páginas de um formulário para não inserirem detalhes de senha, a Sophos encontrou vários exemplos em que os invasores tentaram convencer as vítimas a inserir suas credenciais em um Formulário Google organizado para se assemelhar a uma página de login. Esses formulários costumam estar vinculados a campanhas de spam mal-intencionadas;
Campanhas de spam mal-intencionadas
Uma das maiores fontes de links de Google Forms em spam são os links de “cancelamento de inscrição” em e-mails de marketing relacionados a golpes. A Sophos interceptou várias campanhas de phishing baseadas em spam que visavam contas online da Microsoft, incluindo o Office365. O spam alegou que as contas de e-mail dos destinatários estavam prestes a ser encerradas se não fossem verificadas imediatamente e ofereceu um link para um Formulário Google que pedia ao usuário para inserir suas credenciais da Microsoft. Essas páginas foram decoradas com gráficos da Microsoft, mas, ainda assim, era claramente um Formulário Google;
Roubo de dados de cartão de pagamento
Golpistas básicos usam modelos de design prontos do Google Forms para tentar roubar dados de pagamento por meio de páginas falsas de comércio eletrônico “seguras”;
Adware
Os pesquisadores descobriram vários PUAs direcionados aos usuários do Windows. Esses aplicativos usam páginas do Google Forms clandestinamente, com as solicitações da web coletadas e enviadas automaticamente, sem a necessidade de interação do usuário;
Interfaces de usuário falsas
A Sophos encontrou alguns aplicativos Android mal-intencionados que faziam uso do Google Forms para capturar dados sem a necessidade de codificar um site back-end. A maioria deles era adware ou PUAs. Por exemplo, os pesquisadores descobriram o “SnapTube”, um aplicativo de vídeo que gera receita para o desenvolvedor por meio de fraude de publicidade na web e que inclui uma página do Google Forms para feedback do usuário;
Remoção de dados
Os pesquisadores descobriram uma série de ameaças mais sofisticadas que abusam do Google Forms. Isso incluía aplicativos maliciosos do Windows que usavam solicitações da web para páginas do Google Forms para “enviar” dados roubados de computadores para uma planilha do Google;
Parte da infraestrutura mais ampla de ataque cibernético malicioso
A telemetria da Sophos detectou uma série de scripts do PowerShell interagindo com o Google Forms. A companhia foi capaz de criar um protótipo de como os scripts do PowerShell poderiam ser usados para extrair dados de criação de perfil do Windows de um computador e enviá-los para um Formulário do Google automaticamente.
O que fazer?
“O Google frequentemente fecha contas associadas a mau uso em massa de aplicativos, incluindo o Google Forms”, conta Gallagher. “No entanto, o tipo de uso direcionado de baixo volume do Forms por algum malware pode ficar fora do radar. Os especialistas de TI das empresas precisam estar alertas a essa ameaça e ter cuidado sempre que virem links para o Google Forms ou qualquer outro serviço legítimo que tente obter credenciais, e não devem confiar inerentemente no tráfego TLS para domínios ‘bons’, como docs.google. com”, conclui.
