一场复杂的网络钓鱼活动已经出现,该活动通过冒充 Google AppSheet 平台的欺诈性电子邮件针对 Google Workspace 组织。
此次攻击展示了网络犯罪分子如何利用合法云服务绕过传统的电子邮件安全措施并窃取用户凭证。
该活动于 2025 年 9 月被发现,代表着社会工程策略的重大升级,利用了组织对 Google 无代码应用程序开发平台固有的信任。
该恶意活动利用了 AppSheet 广泛的企业采用及其与 Google Workspace 基础架构的深度集成。
通过伪装成合法的 AppSheet 通信,攻击者成功绕过电子邮件身份验证协议,同时向毫无戒心的收件人发送令人信服的商标侵权通知。
此次攻击的有效性源于其滥用了真实的 Google 基础设施,使得传统安全系统难以检测。
此次网络钓鱼行动遵循了安全研究人员自 2025 年 3 月以来一直追踪的合法服务滥用模式,当时类似的活动利用 AppSheet 冒充 Meta 和 PayPal 服务。
Raven 分析师认为,当前的商标侵权活动是这些早期策略的演变,并指出攻击者如何改进其方法以最大限度地提高凭证收集成功率,同时保持操作安全。
该活动最令人担忧的方面在于其技术复杂性和身份验证绕过能力。
与依赖受感染或欺骗域名的传统网络钓鱼攻击不同,此操作利用 Google 的合法电子邮件基础设施来传递恶意内容。
消息源自noreply@appsheet.com ,确保完美的 SPF、DKIM 和 DMARC 身份验证,同时保持优秀的发件人信誉分数。
技术基础设施和交付机制
该攻击方法通过多种潜在媒介利用 AppSheet 的合法电子邮件功能。
攻击者要么破坏平台上现有的用户帐户,要么滥用服务的通知系统来制作看似由 Google 基础设施真实生成的消息。
网络钓鱼电子邮件包含模仿商标执行通知的专业格式的内容,并附有紧急的法律合规要求,旨在促使用户立即采取行动。
该活动成功的关键在于使用可疑的 URL 缩短器,特别是 goo.su 域名,它会将受害者重定向到凭证收集网站。
这些缩短的链接嵌入在看似合法的法律通知中,为用户互动创造了令人信服的借口。
攻击者策略性地将其网络钓鱼基础设施托管在 Vercel 等信誉良好的平台上,进一步增强了该行动的可信度和逃避能力。
检测很有挑战性,因为电子邮件通过了所有传统的身份验证检查,同时对于熟悉常规 AppSheet 通信的收件人来说,在上下文上显得合适。
这种技术合法性和社会工程复杂性的结合凸显了对上下文感知电子邮件安全解决方案的迫切需求,该解决方案可以分析发件人内容关系,而不是仅仅依赖于身份验证协议。
此次活动凸显了合法云服务如何成为武器化的攻击媒介,迫使组织重新考虑企业环境中可信通信的基本假设。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
