研究人員發現，攻擊者正在利用Google Docs的評論功能，在針對Outlook用戶的網絡釣魚活動中發送惡意鏈接。

網絡安全研究員Jeremy Fuchs在周四發表的一份報告中寫道，CheckPoint公司旗下的電子郵件協作和安全公司的研究人員在12月首次觀察到了大規模黑客利用谷歌文檔的評論功能進行攻擊的趨勢。

Fuchs寫道，Avanan首次發現谷歌文檔、表單和幻燈片的評論功能可被用來發送垃圾郵件，但到目前為止，谷歌尚未對該問題作出任何回應。

他在報告中寫道，從那時起，這個已知的漏洞還沒有被谷歌完全關閉或進行修復。

報告稱，到目前為止，攻擊者通過利用谷歌基于云端的文字處理應用程序的功能，已經攻擊了30個用戶的500多個收件箱，來自100多個不同的Gmail賬戶。

攻擊者針對谷歌文檔的用戶，在文檔中添加評論，用"@"提到目標用戶，從而自動向該人的收件箱發送一封郵件。Fuchs說，這封來自谷歌的電子郵件包括文本和惡意鏈接。

報告中還包括了一個使用相同方法針對谷歌幻燈片(該套件的演示應用程序)進行攻擊的例子。

躲避檢測

Fuchs指出，有許多原因使受害者難以識別那些評論后發送給他們的電子郵件是惡意的。首先，發件人的電子郵件地址沒有顯示，只有攻擊者的名字，這就使得不法分子可以冒充合法的實體來攻擊受害者。

他寫道，這種攻擊也讓反垃圾郵件過濾器更難判斷郵件的安全性，甚至連最終的用戶也很難識別出來。

例如，黑客可以創建一個免費的Gmail賬戶，如

他指出，評論區中的惡意攻擊很難被發現的，因為終端用戶并不知道評論是來自

Fuchs寫道，它只會說'Bad Actor'在以下文件的評論中提到了你，如果Bad Actor是你的一個同事，它就會顯得很可信。

該電子郵件還包含了完整的評論內容，以及鏈接和文本，這意味著受害者永遠不需要去看文件，因為有效載荷就是電子郵件本身。

最后，攻擊者甚至不需要分享文件，只要在評論中提到這個人就足夠了。

Fuchs寫道："那些常見的郵件保護措施不會去標記這些電子郵件，因為通知是直接來自谷歌，而谷歌在大多數的'允許名單'上，并且受到用戶的信任。事實上，他說高級威脅防護系統在其掃描中就已經忽略了這個攻擊載體。”

谷歌文檔作為攻擊面

研究人員說，這一攻擊活動似乎在預示著利用谷歌協作應用程序的評論功能進行惡意攻擊的活動在不斷增加，如果不加以制止，這些攻擊可能會繼續下去。

6月，Avanan研究人員首次發現威脅攻擊者在谷歌文件中進行釣魚攻擊，文件中包含了旨在竊取受害者憑證的惡意鏈接。當時，他們認為這是對一個新的應用程序的攻擊利用。

然后，如前所述，研究人員在10月首次發現威脅者利用評論功能，接著是12月進行的大量攻擊。這些攻擊在1月3日報告給了谷歌，內容為”通過谷歌的內置工具，利用由此產生的電子郵件進行釣魚。”

Avanan建議用戶在點擊Google Docs評論之前，仔細檢查評論中的電子郵件地址，確保它是合法的。根據該報告，他們還建議用戶在審查評論時養成良好的安全習慣，仔細檢查鏈接和檢查語法。

Fuchs建議："如果不確定是否安全，請及時聯系合法的發件人，確認確實是他們有意發送的。"

他補充說，安全專業人員可以通過部署安全保護措施來防范針對文件共享和整個協作應用程序套件的攻擊。

本文翻譯自：https://threatpost.com/attackers-exploit-flaw-google-docs-comments/177412/如若轉載，請注明原文地址。