구글 문서의 댓글 기능, 피싱 공격에 악용돼

Google Docs comment feature abused in phishing campaign

 

보안 회사인 Avanan의 연구원들이 지난 12월에 구글 문서 내 댓글 기능을 악용하여 악성 메시지를 전송하는 새로운 기술을 사용하여 주로 Outlook 사용자를 노리는 피싱 캠페인을 발견했습니다.

 

공격 체인은 매우 간단하며, 공격자는 구글 계정을 사용하여 구글 문서를 만듭니다. 공격자는 구글에서 오는 메시지를 자동으로 보내기 위해 '@'가 있는 대상을 참조하는 댓글을 구글 문서에 추가했습니다. 댓글 내용에는 악성 링크가 포함되어 있으며, 이메일 주소와 공격자 이름은 표시되지 않습니다.

 

구글은 언급된 대상의 받은 편지함으로 알림 이메일을 보내 해당 사용자를 언급한 문서에 추가된 새 댓글에 대해 알립니다.

 

Avanan에서는 분석문을 발표해 아래와 같이 설명했습니다.

 

“이 공격에서 해커는 구글 문서에 댓글을 추가하고 있었습니다. 댓글에서는 @로 대상을 언급합니다. 이런 방법을 통해 이메일이 자동으로 그 사람의 받은 편지함으로 전송됩니다. 구글에서 보낸 해당 이메일에는 악성 링크와 텍스트를 포함한 전체 댓글이 포함되어 있습니다. 또한 이메일 주소는 표시되지 않고, 공격자의 이름만 표시되기 때문에 사칭하기가 매우 쉽습니다.”

 

해당 이메일은 구글 인프라를 통해 전송되기 때문에 보안 솔루션은 이를 악성으로 분류하지 않을 것입니다.

 

 

<이미지 출처: https://www.avanan.com/blog/google-docs-comment-exploit-allows-for-distribution-of-phishing-and-malware>

 

 

이 기술은 구글 슬라이드 및 구글 워크스페이스 서비스의 기타 구성요소에서도 사용 가능합니다.

 

전문가는 그들이 발견한 피싱 캠페인에서 공격자가 구글 문서 및 기타 구글 협업 도구를 활용하여 Outlook 사용자 30명을 노린 것을 발견했습니다. 공격자들은 100개가 넘는 Gmail 계정을 사용했습니다.

 

전문가들은 이러한 공격에 피해를 입지 않기 위해 아래 단계를 따를 것을 추천했습니다.

 

- 구글 문서도구의 댓글을 클릭하기 전 최종 사용자가 댓글의 이메일 주소를 상호 참조해 합법적인지 확인하도록 권장하기

- 최종 사용자에게 링크 조사, 문법 검사 등 보편적인 사이버 보안 조치를 취할 것을 당부하기

- 확실하지 않을 경우 발신자에게 직접 연락해 실제로 문서를 보냈는지 확인하기

- 파일 공유 및 협업 프로그램을 포함하여 전체 제품군을 보호하는 보호 기능 배포하기

 

 

 

 

출처:

https://securityaffairs.co/wordpress/126375/hacking/google-docs-comment-phishing.html

https://www.avanan.com/blog/google-docs-comment-exploit-allows-for-distribution-of-phishing-and-malware