يمكن استغلال نقطة ضعف أمنية غير مسبوقة في Google Drive من قبل مهاجمي البرامج الضارة لتوزيع ملفات ضار متخفية في شكل مستندات أو صور شرعية ، مما يمكّن الجهات السيئة من تنفيذ هجمات التصيد بالرمح نسبيًا بمعدل نجاح مرتفع.
تكمن أحدث مشكلة أمنية – التي تعرف Google بها ولكن للأسف ، لم يتم إصلاحها – في وظيفة “إدارة الإصدارات” التي يوفرها Google Drive والتي تتيح للمستخدمين تحميل وإدارة إصدارات مختلفة من الملف ، وكذلك في طريقة واجهته يوفر إصدارًا جديدًا من الملفات للمستخدمين.
منطقياً ، يجب أن تسمح إصدارات الإدارة وظيفيًا لمستخدمي Google Drive بتحديث إصدار قديم من الملف بإصدار جديد له نفس امتداد الملف ، ولكن اتضح أن الأمر ليس كذلك.
وفقًا لـ A. Nikoci ، مسؤول النظام حسب المهنة الذي أبلغ Google عن الخلل ثم كشفه لاحقًا لـ The Hacker News ، يسمح المتأثر وظيفيًا للمستخدمين بتحميل إصدار جديد مع أي امتداد ملف لأي ملف موجود على التخزين السحابي ، حتى مع ملف تنفيذي ضار.
كما هو موضح في مقاطع الفيديو التوضيحية – التي شاركها Nikoci حصريًا مع The Hacker News – عند القيام بذلك ، يمكن استبدال إصدار شرعي من الملف الذي تمت مشاركته بالفعل بين مجموعة من المستخدمين بملف ضار ، والذي لا يحدث عند المعاينة عبر الإنترنت الإشارة إلى التغييرات التي تم إجراؤها مؤخرًا أو إطلاق أي إنذار ، ولكن عند التنزيل يمكن استخدامه لإصابة الأنظمة المستهدفة.
قال نيكوسي: “تتيح لك Google تغيير إصدار الملف دون التحقق مما إذا كان من نفس النوع”. واضاف “لم يفرضوا حتى التمديد نفسه”.
وغني عن القول ، أن هذه المشكلة تترك الباب مفتوحًا لحملات التصيد بالرمح عالية الفعالية التي تستفيد من الانتشار الواسع للخدمات السحابية مثل Google Drive لتوزيع البرامج الضارة.
https://www.youtube.com/watch؟v=5wDQzJjicCQ
https://www.youtube.com/watch؟v=-Hu778VYoys
https://www.youtube.com/watch؟v=jFGrXow5tjM
يأتي هذا التطور في الوقت الذي أصلحت فيه Google مؤخرًا عيبًا أمنيًا في Gmail والذي كان من الممكن أن يسمح لممثل التهديد بإرسال رسائل بريد إلكتروني مخادعة تحاكي أي عميل Gmail أو G Suite ، حتى عند تمكين سياسات أمان DMARC / SPF الصارمة.
قراصنة البرمجيات الخبيثة يحبون Google Drive
تحاول حيل التصيد الاحتيالي عادةً خداع المستلمين لفتح مرفقات ضارة أو النقر فوق روابط تبدو غير ضارة ، وبالتالي توفير معلومات سرية ، مثل بيانات اعتماد الحساب ، للمهاجم في هذه العملية.
يمكن أيضًا استخدام الروابط والمرفقات لحمل المستلم على تنزيل برامج ضارة عن غير قصد والتي يمكن أن تمنح المهاجم إمكانية الوصول إلى نظام الكمبيوتر الخاص بالمستخدم والمعلومات الحساسة الأخرى.
هذه المشكلة الأمنية الجديدة لا تختلف. تهدف ميزة تحديث ملفات Google Drive إلى أن تكون طريقة سهلة لتحديث الملفات المشتركة ، بما في ذلك القدرة على استبدال المستند بإصدار جديد تمامًا من النظام. بهذه الطريقة ، يمكن تحديث الملف المشترك دون تغيير ارتباطه.
ومع ذلك ، بدون أي تحقق من امتدادات الملفات ، يمكن أن يكون لذلك عواقب وخيمة عندما ينتهي مستخدمو الملف المشترك ، عند إخطارهم بالتغيير عبر بريد إلكتروني ، بتنزيل المستند وإصابة أنظمتهم ببرامج ضارة عن غير قصد.
يمكن الاستفادة من مثل هذا السيناريو لشن هجمات لصيد الحيتان ، وهو أسلوب تصيد غالبًا ما تستخدمه عصابات مجرمي الإنترنت للتنكر في هيئة موظفين إداريين كبار في مؤسسة واستهداف أفراد معينين ، على أمل سرقة معلومات حساسة أو الوصول إلى أنظمة الكمبيوتر الخاصة بهم لأغراض إجرامية .
والأسوأ من ذلك ، يبدو أن Google Chrome يثق ضمنيًا في الملفات التي تم تنزيلها من Google Drive حتى عندما يتم اكتشافها بواسطة برامج مكافحة الفيروسات الأخرى على أنها ضارة.
تصبح الخدمات السحابية متجه هجوم
على الرغم من عدم وجود دليل على أن هذا الخلل قد تم استغلاله في البرية ، فلن يكون من الصعب على المهاجمين إعادة توظيفه لمصلحتهم نظرًا لأن الخدمات السحابية كانت وسيلة لتسليم البرامج الضارة في العديد من هجمات التصيد بالرمح في الأشهر الأخيرة.
في وقت سابق من هذا العام ، حدد Zscaler حملة تصيد احتيالي استخدمت Google Drive لتنزيل أداة سرقة كلمات المرور بعد الاختراق الأولي.
في الشهر الماضي ، سلطت Check Point Research و Cofense الضوء على سلسلة من الحملات الجديدة حيث تم العثور على جهات تهديد ليس فقط باستخدام رسائل البريد الإلكتروني العشوائية لتضمين البرامج الضارة المستضافة على خدمات مثل Dropbox و Google Drive ولكن أيضًا استغلال خدمات التخزين السحابية لاستضافة صفحات التصيد.
لاحظت ESET ، في تحليل لمجموعة Evilnum APT ، اتجاهًا مشابهًا حيث تم استهداف شركات التكنولوجيا المالية في أوروبا والمملكة المتحدة برسائل بريد إلكتروني تصيدية تحتوي على رابط إلى ملف ZIP مستضاف على Google Drive لسرقة تراخيص البرامج ، وائتمان العملاء معلومات البطاقة والاستثمارات ووثائق التداول.
وبالمثل ، كشفت Fortinet ، في حملة تم رصدها في وقت سابق من هذا الشهر ، عن دليل على إغراء التصيد الذي يحمل عنوان COVID-19 والذي يُزعم أنه حذر المستخدمين من تأخر المدفوعات بسبب الوباء ، فقط لتنزيل برنامج NetWire للوصول عن بُعد Trojan المستضاف على Google Drive URL.
مع قيام المحتالين والمجرمين بسحب كل المحطات لإخفاء نواياهم الخبيثة ، من الضروري أن يراقب المستخدمون عن كثب رسائل البريد الإلكتروني المشبوهة ، بما في ذلك إشعارات Google Drive ، للتخفيف من أي مخاطر محتملة.
