Google Docs comment feature abused in phishing campaign
보안 회사인 Avanan의 연구원들이 지난 12월에 구글 문서 내 댓글 기능을 악용하여 악성 메시지를 전송하는 새로운 기술을 사용하여 주로 Outlook 사용자를 노리는 피싱 캠페인을 발견했습니다.
공격 체인은 매우 간단하며, 공격자는 구글 계정을 사용하여 구글 문서를 만듭니다. 공격자는 구글에서 오는 메시지를 자동으로 보내기 위해 '@'가 있는 대상을 참조하는 댓글을 구글 문서에 추가했습니다. 댓글 내용에는 악성 링크가 포함되어 있으며, 이메일 주소와 공격자 이름은 표시되지 않습니다.
구글은 언급된 대상의 받은 편지함으로 알림 이메일을 보내 해당 사용자를 언급한 문서에 추가된 새 댓글에 대해 알립니다.
Avanan에서는 분석문을 발표해 아래와 같이 설명했습니다.
“이 공격에서 해커는 구글 문서에 댓글을 추가하고 있었습니다. 댓글에서는 @로 대상을 언급합니다. 이런 방법을 통해 이메일이 자동으로 그 사람의 받은 편지함으로 전송됩니다. 구글에서 보낸 해당 이메일에는 악성 링크와 텍스트를 포함한 전체 댓글이 포함되어 있습니다. 또한 이메일 주소는 표시되지 않고, 공격자의 이름만 표시되기 때문에 사칭하기가 매우 쉽습니다.”
해당 이메일은 구글 인프라를 통해 전송되기 때문에 보안 솔루션은 이를 악성으로 분류하지 않을 것입니다.
이 기술은 구글 슬라이드 및 구글 워크스페이스 서비스의 기타 구성요소에서도 사용 가능합니다.
전문가는 그들이 발견한 피싱 캠페인에서 공격자가 구글 문서 및 기타 구글 협업 도구를 활용하여 Outlook 사용자 30명을 노린 것을 발견했습니다. 공격자들은 100개가 넘는 Gmail 계정을 사용했습니다.
전문가들은 이러한 공격에 피해를 입지 않기 위해 아래 단계를 따를 것을 추천했습니다.
- 구글 문서도구의 댓글을 클릭하기 전 최종 사용자가 댓글의 이메일 주소를 상호 참조해 합법적인지 확인하도록 권장하기
- 최종 사용자에게 링크 조사, 문법 검사 등 보편적인 사이버 보안 조치를 취할 것을 당부하기
- 확실하지 않을 경우 발신자에게 직접 연락해 실제로 문서를 보냈는지 확인하기
- 파일 공유 및 협업 프로그램을 포함하여 전체 제품군을 보호하는 보호 기능 배포하기
출처:
https://securityaffairs.co/wordpress/126375/hacking/google-docs-comment-phishing.html
마이크로소프트 이후 SonicWall에서도 제품이 Y2K22에 취약하다 밝혀 (0) | 2022.01.10 |
---|---|
H2 데이터베이스 콘솔에서 Log4Shell과 유사한 치명적인 RCE 취약점 발견돼 (0) | 2022.01.10 |
아이폰이 종료된 것으로 위장해 사용자를 몰래 감시할 수 있는 새로운 트릭 발견 (0) | 2022.01.07 |
마이크로소프트 서명 인증을 악용하는 새로운 Zloader 뱅킹 악성코드 캠페인 발견 (0) | 2022.01.06 |
2021년 최악의 사이버 공격사건 정리 (0) | 2022.01.06 |
댓글 영역