概要

最近観察されたフィッシングキャンペーンでは、Google Cloud Storageを利用してRemcosリモートアクセストロイアン（RAT）を配布しています。この攻撃は、信頼できるGoogleのインフラストラクチャと署名済みのMicrosoftバイナリーを使用することで、従来の防御手段を回避します。

攻撃手法

攻撃者は、legitimateなドメインstorage.googleapis.comに偽のGoogle Driveログインページをホストし、ユーザーとセキュリティツールに対してURLが信頼性があるように見せかけます。独自のドメインを登録する代わりに、Googleインターフェースとブランドを模倣したHTMLページをアップロードします。

マルウェア配布

このページは、被害者のメールアドレス、パスワード、ワンタイムパスコードの入力を要求し、完全なアカウントアクセスを取得します。Googleインフラストラクチャを使用することで、フィッシングリンクが一部のメールフィルタやURLレピュテーションチェックを迂回できます。

マルウェア展開

「ログインに成功した」というメッセージを受け取った後、サイトはユーザーに対してJavaScriptファイル（Bid-Packet-INV-Documents.js）のダウンロードを促します。このスクリプトが実行されると、Windows Script Hostで動作し、時間ベースの回避戦略を使用して次の段階であるVBSスクリプトを起動します。

マルウェア展開の詳細

• VBSスクリプトは別のVBSファイルをダウンロードし、%APPDATA%\\
  

  ---

  元記事: https://gbhackers.com/phishing-campaign-exploits-google/