Les opérateurs à l’origine d’une récente campagne de phishing exploitent la fonction de commentaire de Google Docs pour envoyer des e-mails apparemment légitimes qui convainquent les cibles de cliquer sur des liens malveillants.

Ce n’est pas la première fois que des acteurs de la menace trouvent des moyens d’exploiter la confiance des utilisateurs dans la suite de productivité populaire de Google, rapportent les chercheurs d’Avanan qui ont découvert cette campagne. Plus tôt cette année, ils ont observé les attaquants envoient des liens aux fichiers Google Docs contenant un téléchargement malveillant. Les victimes qui ont téléchargé le fichier ont été amenées à saisir leurs identifiants de connexion.

La dernière menace utilise une méthode différente qui a été documenté dans les attentats de 2020. À partir de décembre, Avanan a vu des attaquants utiliser la fonctionnalité de commentaire de Google Docs dans une campagne de phishing qui cible principalement, mais pas exclusivement, les utilisateurs d’Outlook. L’attaque a touché au moins 500 boîtes de réception sur 30 locataires, les opérateurs utilisant plus de 100 comptes Gmail uniques.

Pour mener à bien cette attaque, l’auteur de la menace crée un document Google Docs et y ajoute un commentaire contenant un lien malveillant. Ils ajoutent la victime au commentaire en utilisant « @ ». Cette action envoie automatiquement à la cible un e-mail avec un lien vers le fichier Google Docs. L’e-mail affiche le commentaire complet, y compris les mauvais liens et tout autre texte ajouté par l’attaquant.

C’est une technique attrayante pour les hameçonneurs, car cette notification par e-mail provient directement de Google, qui est généralement approuvée par les utilisateurs et sur la plupart des listes d’autorisation. Elle est donc susceptible d’atterrir dans les boîtes de réception des victimes. De plus, l’e-mail ne contient pas l’adresse e-mail de l’attaquant, mais uniquement son nom d’affichage. Cela rend plus difficile pour les victimes et les filtres anti-spam de reconnaître une attaque.

Un attaquant peut facilement créer un compte Gmail gratuit et configurer un Google Doc, insérer un commentaire et l’envoyer à sa cible. Étant donné que le destinataire ne verra pas l’adresse e-mail de l’expéditeur, l’attaquant pourrait utiliser le nom d’un collègue ou d’un ami comme nom d’affichage et augmenter la probabilité que la cible clique. Un attaquant peut utiliser cette technique pour diffuser des logiciels malveillants, voler des informations d’identification ou prendre d’autres mesures, en fonction de ses motivations.

Pas besoin d’accéder à G Doc
Il convient de noter que la victime n’a pas besoin d’accéder à un document pour que l’attaque fonctionne car l’e-mail de notification contient le lien malveillant, rapportent les chercheurs d’Avanan dans un article de blog. L’attaquant n’a pas non plus besoin de partager le fichier avec eux ; il suffit de mentionner la cible dans un commentaire.

La campagne de décembre a utilisé les commentaires de Google Docs dans ses attaques de phishing ; Cependant, l’équipe affirme que cette technique fonctionne également dans Google Slides. Avanan a informé Google de ses découvertes le 3 janvier.

Pour se protéger contre cette technique, les professionnels de la sécurité sont encouragés à conseiller aux employés de confirmer que l’e-mail de l’expéditeur correspond à celui de la personne qu’ils prétendent être. S’ils ne sont pas sûrs, ils doivent contacter l’expéditeur et s’assurer qu’ils avaient l’intention d’envoyer le commentaire.