Penjahat siber yang bertujuan mengumpulkan detail informasi sensitif kebanyakan mulai meng-host dokumen dan halaman phishing mereka di layanan cloud publik, yang mana membuat sulit bagi target untuk mendeteksi serangan.
Dalam operasinya, penjahat siber membuat skenario canggih yang melibatkan beberapa elemen sah untuk menyembunyikan phishing Office 365.
Para peneliti di Check Point menggambarkan dalam laporan yang mereka terbitkan bahwa para penyerang menggunakan Google Drive untuk meng-host dokumen PDF berbahaya dan “storage.googleapis[.]com” Google untuk meng-host halaman phishing.
Dokumen berbahaya dibuat agar terlihat seperti gateway ke konten yang tersedia melalui platform kolaboratif berbasis web SharePoint.
Setelah calon korban mengambil umpan dan mengakses tautan dokumen, halaman phishing yang dihosting di Google Cloud Platform memuat permintaan untuk login menggunakan akun Office 365 atau ID organisasi.
Baca Juga: “Awas, Ada Phishing Berkedok Perpanjangan Langganan Produk Microsoft“
Terlepas dari opsi yang dipilih, jendela pop-up login Outlook diluncurkan untuk menyelesaikan proses login dan menyediakan akses ke dokumen yang diminta.
Check Point menyatakan bahwa para korban tidak mungkin menemukan penipuan karena halaman dimuat dari sumber yang sah. Lalu pada akhir prosesnya, dokumen PDF asli dari perusahaan terkemuka pun dimunculkan.
Namun, melihat dari source codenya, ada sumber daya untuk halaman arahan dimuat dari lokasi pihak ketiga prvtsmtp[.]com.
Menurut para peneliti, penyerang mulai menggunakan layanan Cloud Functions milik Google, yang memungkinkan kode berjalan di cloud. Taktik ini memungkinkan pemuatan sumber daya untuk halaman phishing tanpa mengungkapkan domain penyerang.
Proyek yang menyimpan file berbahaya milik penyerang sekarang sudah tidak lagi aktif. Pihak Google sudah menangguhkannya dan URL-nya pun sudah dimatikan.
