Phát hiện lỗ hổng trên Google Drive cho phép kẻ tấn công lừa người dùng cài đặt mã độc

Mới đây, các nhà nghiên cứu an ninh mạng đã phát hiện ra một lỗi bảo mật chưa được vá trong Google Drive có thể bị kẻ tấn công khai thác để phân phối các file độc hại. Những file này sẽ ngụy trang dưới dạng các tài liệu hoặc hình ảnh hợp pháp, từ đó cho phép chúng thực hiện các cuộc tấn công lừa đảo spear-phishing với tỷ lệ thành công cao.
 

Mặc dù đã được Google thừa nhận, nhưng lỗ hổng bảo mật này vẫn chưa được vá. Được biết nó nằm trong chức năng “manage versions” (quản lý các phiên bản) do Google cung cấp. Chức năng này được cho phép người dùng upload và quản lý các phiên bản khác nhau của file, cũng như giao diện mới nhất cho người dùng.

Về mặt logic, “manage version” sẽ cho phép người dùng Google Drive cập nhật phiên bản cũ của file lên phiên bản mới với cùng một phần đuôi mở rộng tương tự, nhưng thực tế lại không phải như vậy.

Theo A. Nikoci, một quản trị viên hệ thống chuyên nghiệp, người đã báo cáo lỗ hổng cho Google, về mặt chức năng, lỗ hổng trong tính năng manage version cho phép người dùng tải lên phiên bản mới nhất của file với bất kỳ đuôi mở rộng file nào và cho bất cứ loại file nào hiện có trên bộ nhớ đám mây, kể cả một file thực thi có chứa mã độc.

Có thể thấy trong các video demo mà Nikoci đã chia sẻ với The Hacker News, lỗ hổng này có thể khiến một phiên bản hợp pháp của file, đã được chia sẻ giữa một nhóm người dùng, có thể bị thay thế bằng một file độc hại. Đặc biệt, khi người dùng xem bản preview (xem trước trực tuyến) thì nó sẽ không chỉ ra bất cứ dấu hiệu bất thường hay đưa ra bất kỳ cảnh báo nào. Nhưng khi họ tải file này về máy thì mã độc sẽ ngay lập tức lây nhiễm trên hệ thống của nạn nhân.

“Google cho phép người dùng thay đổi phiên bản file mà không kiểm tra xem liệu nó có cùng một loại hay không. Họ thậm chí còn không quy định các file phải có cùng một đuôi mở rộng,” Nikoci cho biết.

Rõ ràng là lỗi bảo mật này đã mở ra một “cánh cửa mới” cho các chiến dịch lừa đảo spear-phishing quy mô lớn trong tương lai, lợi dụng sự phổ biến của các dịch vụ đám mây như Google Drive để phát tán phần mềm độc hại.
 

Sự phát triển của các chiến dịch này đã bắt đầu được phát hiện khi chỉ mới đây thôi (vào hôm 19/8), Google đã phải vá một lỗ hổng bảo mật trên Gmail mà có thể cho phép kẻ tấn công gửi email lừa đảo và  giả mạo bất kỳ người dùng Gmail hoặc G Suite nào, ngay cả khi các chính sách bảo mật nghiêm ngặt như DMARC/SPF đang được kích hoạt.

Các hacker đặc biệt ưa thích Google Drive

Các chiêu trò lừa đảo spear-phishing thường cố gắng “dụ” người nhận mở các file đính kèm độc hại hoặc click vào các đường link trông có vẻ như vô hại, từ đó chúng sẽ đánh cắp những thông tin bảo mật của nạn nhân, chẳng hạn như thông tin đăng nhập tài khoản.

Các đường link và file đính kèm cũng có thể bị lợi dụng để khiến nạn nhân vô tình tải các mã độc về máy, từ đó cho phép kẻ tấn công chiếm quyền truy cập vào hệ thống máy tính và các thông tin nhạy cảm khác của họ.

Lỗ hổng bảo mật mới bị phát hiện cũng hoạt động theo cách thức tương tự. Tính năng cập nhật file của Google Drive được thiết kế để khiến việc cập nhập các file được chia sẻ dễ dàng hơn, bao gồm khả năng tự động thay thế các file tài liệu cũ bằng một phiên bản mới hơn từ hệ thống. Bằng cách này, file được chia sẻ có thể được cập nhật mà không cần thay đổi đường link của nó.

Tuy nhiên, việc không có bất kỳ quy định xác thực nào đối với phần mở rộng của file sẽ khiến người dùng phải đối mặt với những nguy hiểm tiềm ẩn. Họ có thể nhận được email thông báo về những chỉnh sửa, thay đổi mới trên file được chia sẻ, tải file này xuống và vô tình lây nhiễm mã độc trên hệ thống của chính mình.

Một kịch bản như vậy có thể bị lợi dụng để thực hiện các cuộc tấn công whaling attacks (tạm dịch: tấn công lừa đảo cá voi). Về cơ bản, nó là một chiến thuật lừa đảo thường được sử dụng bởi các băng nhóm tội phạm mạng nhằm giả mạo các quản lý cấp cao trong một tổ chức và nhắm mục tiêu vào các cá nhân, thường là những người giữ các chức vụ quan trọng như CEO, với hy vọng đánh cắp được những thông tin tuyệt mật hoặc chiếm được quyền truy cập vào hệ thống máy tính của họ nhằm mục đích phạm tội.

Tệ hơn là, Google Chrome dường như ngầm tin tưởng các file được tải xuống từ Google Drive, ngay cả khi chúng bị các phần mềm diệt vi-rút cảnh báo là độc hại.

Các dịch vụ đám mây trở thành vector tấn công phổ biến

Mặc dù không có bằng chứng nào cho thấy lỗ hổng này đã bị khai thác trên thực tế, nhưng sẽ không khó để dự đoán rằng những kẻ tấn công sẽ tiếp tục lợi dụng nó như một công cụ hữu hiệu nhằm thực hiện mục đích của mình. Bởi lẽ trong những tháng gần đây, các dịch vụ đám mây đã trở thành phương tiện phát tán mã độc phổ biến và xuất hiện trong một loạt các cuộc tấn công lừa đảo spear-phishing.

Đầu năm nay, Zscaler đã phát hiện một chiến dịch lừa đảo phishing đang sử dụng Google Drive để tải xuống một password stealer.

Tháng trước, Check Point Research và Cofense đã tiết lộ một loạt các chiến dịch mới, mà trong đó kẻ tấn công không chỉ sử dụng email spam để nhúng mã độc được lưu trữ trên các dịch vụ như Dropbox và Google Drive mà chúng còn khai thác các dịch vụ lưu trữ đám mây để lưu trữ các trang lừa đảo.

Trong một bài phân tích về nhóm tin tặc Evilnum APT, ESET cũng đã phát hiện một xu hướng tấn công tương tự nhắm tới các công ty fintech ở Châu Âu và Anh. Những công ty này đã bị tấn công bằng các email lừa đảo spear-phishing có chứa một đường link dẫn tới một file ZIP được lưu trữ trên Google Drive. Mục đích của chúng là đánh cắp giấy phép phần mềm, thông tin thẻ tín dụng của khách hàng cũng như các tài liệu đầu tư và giao dịch quan trọng khác.

Tương tự, Fortinet cũng phát hiện một chiến dịch tấn công mạng vào đầu tháng này. Những kẻ tấn công đã lợi dụng sự quan tâm của công chúng về các chủ đề liên quan đến COVID-19 để gửi email phishing cảnh báo người dùng về việc chậm thanh toán do đại dịch, chỉ để dụ họ tải xuống một NetWire trojan được lưu trữ trên một Google Drive URL.

Những kẻ lừa đảo và tội phạm mạng đang tìm mọi cách để che giấu mã độc và lén lút thực hiện các hành vi độc hại. Vậy nên người dùng cần phải luôn hết sức cảnh giác với các email đáng ngờ, không có nguồn gốc rõ ràng, bao gồm cả những thông báo của Google Drive, để giảm thiểu tối đa những rủi ro có thể xảy ra.