Thought Leadership
Sicherheitsforscher beobachten vermehrt Phishing-Angriffe, die Firebase und Google Apps Script als vertrauenswürdige Plattform missbrauchen.
Zwei neue Angriffswellen setzen auf die Reputation von Google-Services, um Nutzer zu täuschen. Firebase, eine Backend-Plattform für Web- und Mobile-Apps, sowie Google Apps Script, ein JavaScript-Tool zur Automatisierung von Google-Diensten, werden als vertrauenswürdige Hosting-Plattformen missbraucht.
Das Sicherheitsunternehmen Trellix identifizierte eine Kampagne, die sich als Rothschild & Co tarnt und Führungskräfte der Finanzbranche weltweit ins Visier nimmt.
Die Täter hosten gefälschte Broschüren auf Firebase und sichern diese mit einem mathematischen CAPTCHA ab. Nach dessen Lösung erhalten Opfer eine ZIP-Datei mit VBS-Skript, das heimlich NetBird und OpenSSH installiert sowie ein verstecktes Admin-Konto anlegt. Dadurch verschaffen sich die Angreifer persistenten Fernzugriff auf die Systeme.
Apps Script als Köder
Parallel dazu dokumentiert der Security-Anbieter Cofense Attacken über Google Apps Script. Die Entwicklungsplattform, die normalerweise zur Automatisierung von Gmail, Sheets und anderen Google-Diensten verwendet wird, dient hier als Hosting für gefälschte Rechnungsseiten. Kriminelle geben sich als Medizintechnik-Anbieter aus – gehostet auf der vertrauenswürdigen script.google.com-Domain.
Ein “Vorschau”-Button öffnet ein nachgeahmtes Microsoft-Login-Fenster zum Abgreifen der Zugangsdaten. Die Forscher betonen, dass die Nutzung von Googles vertrauenswerter Infrastruktur die Erfolgsquote solcher Angriffe deutlich erhöht.
Zusätzlich warnt ESET vor DocuSign-Imitaten, die über gefälschte Dokumenten-Links und QR-Codes zu Microsoft-Phishing-Seiten führen.
