Sophos, Google Formlar’ın İstismarına Dair Sık Rastlanan 7 Yöntemi Paylaştı

Sophos, siber saldırganların bireyleri ve kurumları hedef alan saldırılarını hayata geçirmek için Google Formlar’ı nasıl istismar ettiklerine açıklık getiren “Phishing and Malware Actors Abuse Google Forms for Credentials, Data Exfiltration” başlıklı raporunu yayınladı.

Kötü amaçlı yazılımların faaliyetlerini gizlemek için şifrelemeyi nasıl kullandıklarını araştırırken Google Formlar’ın çok sayıda kötü niyetli kullanımına denk geldiklerini ifade eden Sophos Kıdemli Tehdit Araştırmacısı Sean Gallagher, şunları söyledi:

“Google Formlar, kolay kullanımının yanı sıra kurumlar ve tüketiciler açısından güvenilir olması nedeniyle siber saldırganlar için çekici bir alternatif sunuyor. Form trafiği Transport Layer Security (TLS) şifrelemesiyle güvence altına alındığı için denetlenmesi bir hayli zor. Bu da kötü niyetli kişiler tarafından ücretsiz bir araç olarak kullanılmasının yolunu açıyor. Analizlerimiz Google Formlar’ın siber saldırganlar tarafından istismarının çoğu zaman kimlik avı ve spam kampanyalarıyla sınırlı kaldığını gösterse de, daha karmaşık saldırılarda da bu platformun kullanıldığını görüyoruz. Örneğin Google Formlar’ı veri sızdırmanın yanı sıra, kötü amaçlı yazılımların komuta ve kontrolü için kullanan saldırı türlerine de rastladık.”

Sophos araştırmacıları Google Formlar’ın siber saldırganlar tarafından istismarına dair tespit ettikleri 7 yöntemi şöyle sıralıyor:

1. Kimlik Avı: Google, formun her sayfasında kullanıcıları şifrelerine dair ayrıntıları girmemeleri gerektiği konusunda uyarmasına rağmen, Sophos saldırganların potansiyel kurbanlarını kimlik bilgilerini Google Formlar’a girmeleri için ikna etmeye çalışan birkaç örnek buldu. Bu formlar genellikle kötü niyetli spam kampanyalarıyla ilişkiliydi.
2. Kötü Niyetli Spam Kampanyaları: Spam kampanyalarındaki en büyük Google Form bağlantı kaynaklarından biri, dolandırıcıların pazarlama e-postalarında ekledikleri “abonelikten çıkma” bağlantılarıydı. Sophos, bu aşamada Office365 dahil Microsoft çevrimiçi hesaplarını ele geçirmeyi hedefleyen bir dizi spam odaklı kimlik avı kampanyası tespit etti. Söz konusu spam mesajı, alıcıların e-posta hesaplarının hemen doğrulanmaması halinde kapatılacağını iddia ediyordu ve kullanıcıyı Microsoft kimlik bilgilerini girmesini istedikleri bir Google Form bağlantısına yönlendiriyordu. Söz konusu form sayfaları Microsoft görselleriyle süslenmesine rağmen dikkatli bakınca hemen Google Form olduğu anlaşılıyordu.
3. Ödeme Kartı Veri Hırsızlığı: Giriş seviyesi dolandırıcılar, sahte “güvenli” e-ticaret sayfaları aracılığıyla ödeme verilerini çalmak için ziyaretçileri Google Formlar’ın hazır tasarım şablonlarına yönlendiriyordu.
4. Adware Benzeri İstenmeyen Uygulamalar: Araştırmacılar, Windows kullanıcılarını hedef alan bir dizi istenmeyen uygulama keşfetti. Bu uygulamalar Google Formlar sayfalarını gizlice kullanıyor, web taleplerini herhangi bir kullanıcı etkileşimine ihtiyaç duymadan otomatik olarak topluyor ve formlara gönderiyordu.
5. Kötü Niyetli Android Uygulamaları İçin Sahte Kullanıcı Arayüzleri: Sophos, web sitesi kodlamak zorunda kalmadan veri toplamak için Google Formlar’ı kullanan kötü amaçlı Android uygulamaları tespit etti. Bunların çoğu reklam yazılımı veya istenmeyen uygulamalardı. Örneğin Sophos araştırmacıları, web reklamı dolandırıcılığı yoluyla gelir sağlayan ve kullanıcı geri bildirimi için Google Formlar sayfasına yönlendiren video uygulaması “SnapTube”u bu esnada keşfetti.
6. Veri Sızdırma: Araştırmacılar, Google Formlar’ı kötüye kullanan bir dizi karmaşık tehdidi de ortaya çıkardı. Rastlanan bir yöntem, bilgisayardan çalınan verileri Google elektronik tablosuna sızdırmak için Google Formlar sayfalarına yönelik web taleplerini kullanan kötü amaçlı Windows uygulamalarını içeriyordu.
7. Geniş Ölçekli Siber Saldırı Altyapısının Kurgulanması: Sophos telemetrisi, Google Formlar ile etkileşime giren bir dizi PowerShell komut dosyası algıladı. Bunun üzerine hazırlanan bir örnek kodla Windows profil oluşturma verilerinin bilgisayardan alınarak Google Formlara göndermek için PowerShell komut dosyalarının kullanılabileceği kanıtlandı.

Gallagher, konuyla ilgili olarak şöyle konuştu;

“Google, Google Formlar da dahil olmak üzere uygulamalarının kötüye kullanımının önüne geçmek için istismara konu olan hesapları sık sık kapatıyor” dedi. “Ancak formların bazı kötü amaçlı yazılımlar tarafından düşük hacimli, hedefli kullanımı gözden kaçabiliyor. Şirketlerdeki bilgi teknolojileri yöneticilerinin ve siber güvenlik uzmanlarının bu tehdide karşı uyanık olmaları, bilgilerini çalmaya çalışan hizmetlere bağlantı gördüklerinde dikkatli yaklaşmaları ve docs.google gibi güvenli olduğu bilinen alanlara yönelik TLS trafiğine bile doğası gereği güvenmemeleri gerekiyor.”

Sophos ürünleri, uç nokta için Intercept X dahil olmak üzere form tabanlı kimlik avı kampanyaları yürüten çoğu kötü amaçlı spam girişimine karşı koyabiliyor ve araştırmada sözü geçen sistem bilgisi toplama davranışlarını tespit ediyor.

Sophos ayrıca tüketicilere, kötü amaçlı yazılımlardan ve siber tehditlerden korunmak için kendilerinin ve ailelerinin çevrimiçi iletişim ve oyun için kullandıkları cihazlara Sophos Home gibi bir güvenlik çözümü yüklemelerini tavsiye ediyor.