據(jù)網(wǎng)絡(luò)安全公司Abnormal Security近日發(fā)布的一份報告稱：發(fā)起B(yǎng)azaCall釣魚攻擊的威脅組織正在嘗試通過利用Google表單實施新一輪攻擊。BazaCall（又稱BazarCall）最早被發(fā)現(xiàn)于2020年，攻擊者通過發(fā)送假冒的電子郵件訂閱通知給目標用戶，敦促他們?nèi)缬挟愖h立刻聯(lián)系服務(wù)臺取消計劃，否則可能面臨50至500美元的收費。

在Abnormal Security最新檢測到的攻擊變種中，威脅組織使用了Google Forms創(chuàng)建的表單用作傳遞所謂訂閱詳情的渠道。

值得注意的是，該表單啟用了回執(zhí)功能，會通過電子郵件向表單回應(yīng)者發(fā)送回應(yīng)副本，以便攻擊者可以發(fā)送邀請讓其自己完成表單并接收回應(yīng)。

安全研究員Mike Britton表示：由于攻擊者啟用了回執(zhí)選項，目標收件人將收到已完成表單的副本，類似Norton Antivirus軟件的付款確認。

使用Google Forms的巧妙之處還在于回應(yīng)是從地址“forms-receipts-noreply@google[.]com”發(fā)送的，這是一個受信任的域名，因此有更高的繞過安全電子郵件網(wǎng)關(guān)的機會。Cisco Talos上個月曾披露過一起類似的Google Forms釣魚活動。

Britton解釋稱：谷歌表單經(jīng)常使用動態(tài)生成的 URL。這些 URL 不斷變化的特性可以躲避利用靜態(tài)分析和基于簽名的檢測的傳統(tǒng)安全措施，這些措施依賴于已知的模式來識別威脅。

威脅攻擊者利用More_eggs后門#瞄準招聘人員

Proofpoint 在披露這一信息的同時，還揭露了一個新的網(wǎng)絡(luò)釣魚活動，該活動以招聘人員為目標，直接發(fā)送電子郵件，最終導(dǎo)致一個名為 More_eggs 的 JavaScript 后門。

這家企業(yè)安全公司將這一攻擊浪潮歸咎于一個 "技術(shù)嫻熟、有經(jīng)濟動機的威脅行為者"，它追蹤到的TA4557有濫用合法信息服務(wù)和通過電子郵件提供虛假工作機會的記錄，并最終提供了More_eggs后門。

Proofpoint 說：在使用新的電子郵件技術(shù)的攻擊鏈中，一旦收件人回復(fù)了最初的電子郵件，就會收到一個回復(fù)鏈接到行為者控制的網(wǎng)站的 URL。

另外，還觀察到該行為者回復(fù)了一個 PDF 或 Word 附件，其中包含訪問虛假簡歷網(wǎng)站的說明。

More_eggs以惡意軟件即服務(wù)（malware-as-a-service）的形式提供，諸如Cobalt Group（又名Cobalt Gang）、Evilnum和FIN6其他著名的網(wǎng)絡(luò)犯罪團伙也在使用它。