據(jù)報道，網絡犯罪分子通過濫用谷歌合法云存儲服務托管惡意程序的實體，并通過繞過安全控制破壞企業(yè)網絡。

該攻擊是攻擊者針對谷歌云存儲服務域storage.googleapis.com發(fā)起的，而全球多家公司使用的都是該服務域。

自八月起，該活動主要針對銀行的員工及位于美國及英國的金融服務公司。

該攻擊起初是通過大規(guī)模電郵方式分發(fā)的，電郵中包含指向由谷歌云服務托管的惡意網站的釣魚鏈接。

研究人員經分析發(fā)現(xiàn)，有4,600個網絡釣魚網站使用了合法托管服務，也可稱為“名譽聯(lián)網”，該方法可借知名的流行托管服務來躲避檢測。

鑒于電郵安全系統(tǒng)可檢測惡意附件，攻擊者并未使用惡意附件，相反，他們使用電子郵件中的惡意鏈接以繞過電郵安全系統(tǒng)。

僅有已存在于威脅存儲庫的惡意URL才可能被識別出來，而鑒于攻擊者會不斷改變托管域的負載，這種情況并不常見。

谷歌云存儲的感染過程

首先，攻擊者從被入侵的電郵賬戶發(fā)送包含嵌入式URL的電郵啟動整個惡意行動。

偽裝為谷歌云存儲服務合法URL的惡意URL可被用來傳輸兩類程序的實體以感染終端節(jié)點：VBS腳本和JAR文件。

攻擊者并未使用大多數(shù)網絡犯罪分子使用的經過混淆（偽裝）的惡意VBS腳本。

據(jù)Menlo Security稱，這些VBS腳本是由同一工具包創(chuàng)建的，因為這三個腳本似乎都屬于Houdini惡意軟件系列；而經鑒定，我們發(fā)現(xiàn)其中一個JAR文件（Swift invoice.jar）屬于Houdini/jRAT惡意軟件系列。

研究人員表示，正在對其他JAR文件展開調查，且認為這些文件應屬于Qrat惡意軟件系列。