Selon un rapport publié par CheckPoint, une campagne de phishing a exploité des fonctionnalités légitimes de Google Cloud afin d’envoyer des e‑mails frauduleux semblant provenir de l’infrastructure de Google et imitant des notifications d’entreprise.

• Échelle et crédibilité 📨 Les attaquants ont expédié 9 394 e‑mails de phishing ciblant environ 3 200 clients en 14 jours, tous envoyés depuis l’adresse légitime [email protected]. Les messages copiaient le style des notifications Google (alertes de messagerie vocale, demandes d’accès à des fichiers) pour paraître normaux et fiables.

• Méthode d’abus de service La campagne semble s’appuyer sur la fonctionnalité Send Email de Google Cloud Application Integration, conçue pour l’automatisation légitime. Cette utilisation détournée a permis d’envoyer des e‑mails directement depuis des domaines Google, sans compromission de Google, contournant la réputation de l’expéditeur et certains contrôles de détection basés sur le domaine. Les leurres reprenaient la mise en forme et le langage de Google afin d’augmenter la confiance.

• Chaîne de redirection en plusieurs étapes 🔗

  1. Clic initial vers une URL hébergée sur storage.cloud.google.com (service de confiance).
  2. Redirection vers googleusercontent.com avec fausse vérification type CAPTCHA ou image pour filtrer les scanners et laisser passer les utilisateurs humains.
  3. Destination finale : fausse page de connexion Microsoft sur un domaine non‑Microsoft, capturant les identifiants.

• Ciblage par secteurs et régions 🎯 Secteurs les plus touchés (14 derniers jours) : manufacturier/industriel (19,6 %), technologie/SaaS (18,9 %), finance/assurance (14,8 %), puis services professionnels/consulting (10,7 %), retail/consommation (9,1 %), avec des parts moindres en médias/pub (7,4 %), éducation/recherche (6,2 %), santé/sciences de la vie (5,1 %), énergie/services publics (3,2 %), secteur public (2,5 %), voyage/hôtellerie (1,9 %), transport/logistique (0,9 %), autres/inconnu (1,7 %). Régions : États‑Unis (48,6 %), Asie‑Pacifique (20,7 %), Europe (19,8 %), puis Canada (4,1 %), LATAM (3,0 %), Moyen‑Orient (2,2 %), Afrique (0,9 %), inconnu (0,7 %). En LATAM : Brésil (41 %), Mexique (26 %), Argentine (13 %), Colombie (12 %), Chili (5 %).

• Position de Google 🛡️ Google indique avoir bloqué plusieurs campagnes abusant de la fonction de notification e‑mail de Google Cloud Application Integration. L’activité résulte de l’abus d’un outil d’automatisation et non d’une compromission de l’infrastructure. Des protections spécifiques ont été déployées et des mesures additionnelles sont en cours. Il s’agit d’une analyse de menace visant à documenter la campagne et ses techniques.

• IOCs et TTPs

  • IOCs / infrastructure utilisée : adresse d’envoi [email protected] ; domaines de redirection storage.cloud.google.com et googleusercontent.com ; destination finale : fausse page Microsoft (domaine non‑Microsoft, non précisé) ; thèmes de leurres : messagerie vocale, accès à un document (ex. fichier de trimestre).
  • TTPs : abus de services cloud légitimes, usurpation de notifications Google, chaîne de redirections multi‑étapes, vérification par CAPTCHA/interaction utilisateur pour échapper aux scanners, hameçonnage d’identifiants via page Microsoft contrefaite.

🧠 TTPs et IOCs détectés

TTP

abus de services cloud légitimes, usurpation de notifications Google, chaîne de redirections multi-étapes, vérification par CAPTCHA/interaction utilisateur pour échapper aux scanners, hameçonnage d’identifiants via page Microsoft contrefaite

IOC

adresse d’envoi [email protected]; domaines de redirection storage.cloud.google.com et googleusercontent.com; destination finale: fausse page Microsoft (domaine non-Microsoft, non précisé)

🔗 Source originale : https://blog.checkpoint.com/research/phishing-campaign-leverages-trusted-google-cloud-automation-capabilities-to-evade-detection/