In wat is beschreven als een ‘extreem geavanceerde phishing -aanval’, hebben dreigingsacteurs een ongewone aanpak gebruikt die nep -e -mails mogelijk maakte via de infrastructuur van Google te worden verzonden en berichtontvangers door te sturen naar frauduleuze sites die hun geloofsbrieven oogsten.
“Het eerste dat moet worden opgemerkt, is dat dit een geldige, ondertekende e-mail is-het is echt verzonden via [email protected],” zei Nick Johnson, de hoofdontwikkelaar van de Ethereum Name Service (ENS), in een reeks berichten op X.
“Het passeert de DKIM -handtekeningcontrole en Gmail toont het zonder enige waarschuwingen – het plaatst het zelfs in hetzelfde gesprek als andere, legitieme beveiligingswaarschuwingen.”
Het e -mailbericht informeert potentiële doelen van een dagvaarding van een wetshandhavingsinstantie die vraagt om niet -gespecificeerde inhoud die aanwezig is in hun Google -account en dringt er bij hen op aan om op een sites te klikken. Google (.) Com -url om “het casemateriaal te onderzoeken of maatregelen te nemen om een protest in te dienen.”
De Google Sites URL toont een lookalike pagina die de legitieme Google -ondersteuningspagina voordoet en knoppen bevat om “extra documenten te uploaden” of “View (The) Case”. Als u op een van de opties klikt, wordt het slachtoffer naar een Replica Google Account-aanmeldingspagina gebracht, het enige verschil dat het wordt gehost op Google-sites.
“Sites.google.com is een legacy -product van voordat Google serieus werd over beveiliging; het stelt gebruikers in staat om inhoud te hosten op een Google.com -subdomein, en cruciaal ondersteunt het willekeurige scripts en insluitingen,” zei Johnson.
“Uiteraard maakt het bouwen van een credentiële oogstsite triviaal; ze moeten gewoon bereid zijn om nieuwe versies te uploaden, omdat oude worden verwijderd door het misbruikteam van Google. Het helpt de aanvallers dat er geen manier is om misbruik te melden van de sitesinterface.”
Een slim aspect van de aanval is het feit dat het e-mailbericht de “ondertekende” header is ingesteld op “Accounts.google (.) Com”, ondanks dat het een “gemaild door” header met een volledig niet-gerelateerd domein (“FWD-04-1.fwd.privateEmail (.) Com” heeft.
De kwaadaardige activiteit is gekenmerkt als een DKIM -herhalingsaanval, waarbij de aanvaller eerst een Google -account maakt voor een nieuw gemaakt domein (“ME@
“Nu geven ze hun Oauth -app toegang tot hun ‘Me@…’ Google -account,” zei Johnson. “Dit genereert een bericht ‘Security Alert’ van Google, verzonden naar hun ‘me@…’ e -mailadres. Sinds Google de e -mail heeft gegenereerd, is het ondertekend met een geldige DKIM -sleutel en wordt alle controles doorgegeven.”
De aanvaller gaat vervolgens over tot het doorsturen van hetzelfde bericht van een Outlook -account en houdt de DKIM -handtekening intact, waardoor het bericht e -mailbeveiligingsfilters is omzeilen, volgens EasyDMARC. Het bericht wordt vervolgens doorgegeven via een SMTP -service met Custom Simple Mail Transfer Protocol (SMTP) en ontvangen door Namecheap’s PrivateMail -infrastructuur die e -mail doorstuurt naar het gerichte Gmail -account.
“Op dit moment bereikt de e -mail de inbox van het slachtoffer dat eruitziet als een geldig bericht van Google, en alle authenticatiecontroles worden weergegeven als passerende SPF, DKIM en DMARC,” zei Gerasim Hovhannisyan, CEO van Easydmarc.
“Omdat ze hun Google -account ‘me@’ noemden, laat Gmail zien dat het bericht naar ‘me’ bovenaan is verzonden, wat de steno is die het gebruikt wanneer een bericht wordt aangepakt aan uw e -mailadres – het vermijden van een andere indicatie die rode vlaggen kan verzenden,” merkte Johnson op.
Toen Google werd bereikt voor commentaar, vertelde Google The Hacker News dat het fixes heeft uitgerold om het misbruikpad te stoppen en benadrukte dat het bedrijf noch om accountgegevens vraagt, zoals wachtwoorden of eenmalige wachtwoorden, noch direct gebruikers belt.
“We zijn ons bewust van deze klasse van gerichte aanval van deze dreigingsacteur en hebben bescherming uitgerold om deze weg te sluiten voor misbruik,” zei een woordvoerder van Google. “In de tussentijd moedigen we gebruikers aan om twee-factor authenticatie en Passkeys aan te nemen, die een sterke bescherming bieden tegen dit soort phishing-campagnes.”
De openbaarmaking komt bijna negen maanden nadat Guardio Labs een inmiddels gepatchte misconfiguratie in e-mailbeveiligingsverkoper Proofpoint’s verdediging heeft onthuld die dreigingsactoren exploiteren om miljoenen berichten te verzenden die verschillende populaire bedrijven zoals Best Buy, IBM, Nike en Walt Disney en bypass-authentingsmaatregelen verzenden.
Het valt ook samen met een toename van phishing -campagnes die gebruik maken van bijlagen in schaalbare Vector Graphics (SVG) -indeling om de uitvoering van HTML -code te activeren die op zijn beurt gebruikers omleidt naar een Rogue Microsoft -inlogformulier of een neppagina Masquerading als Google Voice als Google Voice als Google Voice als Google Voice als Google Voice te verleiden om hun schrift te betreden.
Het Russische cybersecuritybedrijf Kaspersky zei dat het sinds het begin van 2025 meer dan 4.100 phishing -e -mails heeft waargenomen met SVG -bijlagen.
“Phishers onderzoeken meedogenloos nieuwe technieken om detectie te omzeilen,” zei Kaspersky. “Ze variëren hun tactieken, waarbij ze worden gebruikt om gebruik te maken van gebruikersomleiding en tekstverwijderingen, en andere keren, experimenteren met verschillende bevestigingsformaten. Het SVG -formaat biedt de mogelijkheid om HTML- en JavaScript -code in afbeeldingen in te sluiten in afbeeldingen, die door aanvallers worden misbruikt.”
