Giới thiệu
Các nhà nghiên cứu Cybersecurity đã tiết lộ chi tiết về một chiến dịch phishing mà trong đó kẻ tấn công giả mạo các tin nhắn hợp pháp do Google tạo ra bằng cách lạm dụng dịch vụ Application Integration của Google Cloud để phân phối email.
Theo Check Point, hoạt động này đã lợi dụng sự tin cậy liên quan đến cơ sở hạ tầng Google Cloud để gửi tin nhắn từ một địa chỉ email hợp pháp ("noreply-application-integration@google[.]com") nhằm mục đích vượt qua các bộ lọc email security truyền thống và có cơ hội cao hơn để đến hộp thư đến của người dùng.
Các email này bắt chước các thông báo doanh nghiệp thông thường như cảnh báo thư thoại và yêu cầu truy cập hoặc cấp quyền tệp, khiến chúng trông bình thường và đáng tin cậy đối với người nhận,
công ty Cybersecurity cho biết.
Kẻ tấn công đã được phát hiện gửi 9.394 email phishing nhắm mục tiêu khoảng 3.200 khách hàng trong khoảng thời gian 14 ngày vào tháng 12 năm 2025, với các tổ chức bị ảnh hưởng nằm ở Hoa Kỳ, Châu Á-Thái Bình Dương, Châu Âu, Canada và Châu Mỹ Latinh.
Lợi dụng tính năng Application Integration của Google Cloud
Trọng tâm của chiến dịch là việc lạm dụng tác vụ "Send Email" của Application Integration, cho phép người dùng gửi thông báo email tùy chỉnh từ một tích hợp. Google lưu ý trong tài liệu hỗ trợ của mình rằng chỉ có tối đa 30 người nhận có thể được thêm vào tác vụ này.
Việc các email này có thể được cấu hình để gửi đến bất kỳ địa chỉ email tùy ý nào cho thấy khả năng của kẻ tấn công trong việc lạm dụng một khả năng tự động hóa hợp pháp để trục lợi và gửi email từ các miền thuộc sở hữu của Google, qua đó bỏ qua hiệu quả các kiểm tra DMARC và SPF.
Để tăng thêm sự tin cậy, các email tuân thủ chặt chẽ phong cách và cấu trúc thông báo của Google, bao gồm định dạng và ngôn ngữ quen thuộc,
Check Point cho biết.
Các mồi nhử thường đề cập đến tin nhắn thư thoại hoặc tuyên bố rằng người nhận đã được cấp quyền truy cập vào một tệp hoặc tài liệu được chia sẻ, chẳng hạn như quyền truy cập vào tệp 'Q4', thúc đẩy người nhận nhấp vào các liên kết nhúng và thực hiện hành động ngay lập tức.
Chuỗi tấn công đa giai đoạn
Chuỗi tấn công là một luồng chuyển hướng đa giai đoạn bắt đầu khi người nhận email nhấp vào một liên kết được lưu trữ trên storage.cloud.google[.]com, một dịch vụ Google Cloud đáng tin cậy khác. Nỗ lực này được xem là một cách khác để giảm sự nghi ngờ của người dùng và mang lại vẻ hợp pháp cho cuộc tấn công.
Liên kết sau đó chuyển hướng người dùng đến nội dung được phục vụ từ googleusercontent[.]com, hiển thị cho họ một CAPTCHA giả mạo hoặc xác minh dựa trên hình ảnh. Điều này hoạt động như một rào cản bằng cách chặn các trình quét tự động và công cụ security kiểm tra cơ sở hạ tầng tấn công, đồng thời cho phép người dùng thực sự vượt qua.
Sau khi giai đoạn xác thực hoàn tất, người dùng sẽ được đưa đến một trang đăng nhập Microsoft giả mạo được lưu trữ trên một miền không thuộc Microsoft, cuối cùng đánh cắp bất kỳ thông tin đăng nhập nào do nạn nhân nhập vào.
Phản hồi của Google và các mục tiêu bị ảnh hưởng
Để đáp lại các phát hiện này, Google đã chặn các nỗ lực phishing lạm dụng tính năng thông báo email trong Google Cloud Application Integration và cho biết đang thực hiện thêm các bước để ngăn chặn việc lạm dụng tiếp theo.
Phân tích của Check Point đã tiết lộ rằng chiến dịch này chủ yếu nhắm mục tiêu vào các lĩnh vực sản xuất, technology, tài chính, dịch vụ chuyên nghiệp và bán lẻ, mặc dù các ngành dọc khác bao gồm truyền thông, giáo dục, healthcare, năng lượng, chính phủ, du lịch và vận tải cũng đã bị nhắm đến.
Các lĩnh vực này thường dựa vào các thông báo tự động, tài liệu được chia sẻ và quy trình làm việc dựa trên quyền, khiến các cảnh báo mang thương hiệu Google đặc biệt thuyết phục,
nó nói thêm.
Chiến dịch này nêu bật cách kẻ tấn công có thể lạm dụng các tính năng tự động hóa đám mây và quy trình làm việc hợp pháp để phân phối phishing trên quy mô lớn mà không cần mạo danh truyền thống.
