Análise de Campanha Integrada de Phishing Utilizando Infraestrutura Google Cloud

Uma operação coordenada de phishing está abusando do Google Cloud Storage para hospedar arquivos HTML de redirecionamento em storage.googleapis.com. Essa tática permite que e-mails maliciosos passem pelas verificações SPF/DKIM, direcionando as vítimas para o que parece ser uma infraestrutura Google legítima e, portanto, confiável. O operador da campanha reutiliza um único bucket do Google Cloud Storage (GCS), mas distribui mais de 25 tipos de iscas. Essas iscas variam desde alertas de “Cloud Storage Full” e expiração falsa de antivírus até ofertas de varejo e saúde, todas convergindo para páginas de coleta de dados de cartão de crédito que apresentam baixas taxas de “envio” ou “serviço”. Para defesa, é crucial que os profissionais de segurança sinalizem links storage.googleapis.com em e-mails, examinem cuidadosamente os metadados do remetente e denunciem buckets abusivos, como “whilewait”, ao Google Cloud Abuse para desmantelar a infraestrutura compartilhada da campanha. ️