Výzkumníci v oblasti kybernetické bezpečnosti zveřejnili podrobnosti o phishingové kampani, při níž útočníci vydávají za legitimní zprávy generované společností Google zneužitím služby Application Integration v Google Cloud k distribuci e-mailů.
Výzkumníci uvedli, že tato aktivita využívá důvěry spojené s infrastrukturou Google Cloud k odesílání zpráv z legitimní e-mailové adresy („noreply-application-integration@google[.]com“), aby mohly obejít tradiční bezpečnostní filtry e-mailů a měly větší šanci dostat se do schránek uživatelů.
„Tyto e-maily napodobují běžná podniková oznámení, jako jsou upozornění na hlasovou poštu a žádosti o přístup k souborům nebo oprávnění, díky čemuž se příjemcům jeví jako normální a důvěryhodné,“ uvedla společnost zabývající se kybernetickou bezpečností.
Bylo pozorováno, že útočníci během 14denního období v prosinci 2025 odeslali 9 394 phishingových e-mailů zaměřených přibližně na 3 200 zákazníků, přičemž postižené organizace se nacházely ve Spojených státech, Asii a Tichomoří, Evropě, Kanadě a Latinské Americe.
Zneužití legitimní funkce Google
Jádrem kampaně je zneužití funkce „Send Email“ v Application Integration, která uživatelům umožňuje odesílat vlastní e-mailová oznámení z integrace. Google ve své podpůrné dokumentaci uvádí, že k úloze lze přidat maximálně 30 příjemců.
Skutečnost, že tyto e-maily lze nakonfigurovat tak, aby byly odeslány na libovolné e-mailové adresy, demonstruje schopnost aktéra hrozby zneužít legitimní automatizační funkci ve svůj prospěch a odesílat e-maily z domén vlastněných společností Google, čímž efektivně obchází kontroly DMARC a SPF.
Vícestupňový útočný řetězec
Útočný řetězec je vícestupňový tok přesměrování, který začíná, když příjemce e-mailu klikne na odkaz hostovaný na storage.cloud.google[.]com, další důvěryhodné službě Google Cloud. Toto úsilí je vnímáno jako další pokus snížit podezření uživatelů a dodat mu nátěr legitimity.
Odkaz poté přesměruje uživatele na obsah poskytovaný z googleusercontent[.]com, který mu představí falešnou CAPTCHA nebo ověření založené na obrázku, jež funguje jako bariéra blokující automatizované skenery a bezpečnostní nástroje před zkoumáním útočné infrastruktury, zatímco skuteční uživatelé mohou projít.
Jakmile je fáze ověření dokončena, je uživatel převeden na falešnou přihlašovací stránku Microsoft, která je hostována na doméně, jež nepatří Microsoftu, a nakonec ukradne veškerá pověření zadaná oběťmi.
Reakce Google a rozsah kampaně
V reakci na zjištění Google zablokoval phishingové úsilí, které zneužívá funkci e-mailových oznámení v rámci Google Cloud Application Integration, a dodal, že podniká další kroky k zabránění dalšího zneužití.
Zdroj: thehackernews.com
