Tội phạm mạng lợi dụng tính năng email của Google Cloud trong chiến dịch lừa đảo

[T-800]

Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một chiến dịch lừa đảo qua email, trong đó tin tặc giả mạo các tin nhắn hợp pháp do Google tạo ra bằng cách lợi dụng dịch vụ Tích hợp ứng dụng của Google Cloud để phát tán email.

Theo Check Point, hoạt động này tận dụng sự tin tưởng gắn liền với cơ sở hạ tầng Google Cloud để gửi các tin nhắn từ một địa chỉ email hợp lệ ("noreply-application-integration@google[.]com") nhằm vượt qua các bộ lọc bảo mật email truyền thống và có cơ hội cao hơn để đến được hộp thư đến của người dùng.

"Các email này bắt chước các thông báo thường lệ của doanh nghiệp như cảnh báo thư thoại và yêu cầu truy cập hoặc cấp quyền tệp, khiến chúng trông bình thường và đáng tin cậy đối với người nhận", công ty an ninh mạng cho biết.

Trong khoảng thời gian 14 ngày vào tháng 12 năm 2025, tin tặc đã gửi 9.394 email lừa đảo nhắm vào khoảng 3.200 khách hàng, các tổ chức bị ảnh hưởng nằm ở Mỹ, khu vực châu Á - Thái Bình Dương, châu Âu, Canada và Mỹ Latinh.

Trọng tâm của chiến dịch này là việc lạm dụng chức năng " Gửi Email " của Tích hợp Ứng dụng, cho phép người dùng gửi thông báo email tùy chỉnh từ một ứng dụng tích hợp. Google lưu ý trong tài liệu hỗ trợ của mình rằng chỉ có thể thêm tối đa 30 người nhận vào tác vụ này.

Việc các email này có thể được cấu hình để gửi đến bất kỳ địa chỉ email tùy ý nào cho thấy khả năng của kẻ tấn công trong việc lợi dụng chức năng tự động hóa hợp pháp để trục lợi và gửi email từ các tên miền thuộc sở hữu của Google, qua đó vượt qua hiệu quả các kiểm tra DMARC và SPF.

Check Point cho biết: "Để tăng thêm độ tin cậy, các email này tuân theo sát kiểu dáng và cấu trúc thông báo của Google, bao gồm cả định dạng và ngôn ngữ quen thuộc. Các chiêu trò thường đề cập đến tin nhắn thoại hoặc tuyên bố rằng người nhận đã được cấp quyền truy cập vào một tệp hoặc tài liệu được chia sẻ, chẳng hạn như quyền truy cập vào tệp 'Q4', thúc giục người nhận nhấp vào các liên kết được nhúng và thực hiện hành động ngay lập tức."

Chuỗi tấn công là một quy trình chuyển hướng nhiều giai đoạn bắt đầu khi người nhận email nhấp vào một liên kết được lưu trữ trên   Đăng nhập để xem liên kết[.]com, một dịch vụ Google Cloud đáng tin cậy khác. Nỗ lực này được xem như một nỗ lực khác nhằm giảm bớt sự nghi ngờ của người dùng và tạo ra vẻ ngoài hợp pháp.

Sau đó, liên kết sẽ chuyển hướng người dùng đến nội dung được cung cấp từ googleusercontent[.]com, hiển thị cho họ một mã CAPTCHA giả hoặc xác minh dựa trên hình ảnh hoạt động như một rào cản bằng cách ngăn chặn các trình quét tự động và công cụ bảo mật kiểm tra cơ sở hạ tầng tấn công, trong khi vẫn cho phép người dùng thực truy cập.

Sau khi giai đoạn xác thực hoàn tất, người dùng sẽ được chuyển đến một trang đăng nhập Microsoft giả mạo được lưu trữ trên một tên miền không thuộc Microsoft, từ đó đánh cắp mọi thông tin đăng nhập mà nạn nhân đã nhập.

Trước những phát hiện này, Google đã chặn các nỗ lực lừa đảo lợi dụng tính năng thông báo email trong Google Cloud Application Integration, đồng thời cho biết họ đang thực hiện thêm các biện pháp để ngăn chặn việc lạm dụng trong tương lai.

Phân tích của Check Point cho thấy chiến dịch này chủ yếu nhắm vào các lĩnh vực sản xuất, công nghệ, tài chính, dịch vụ chuyên nghiệp và bán lẻ, mặc dù các ngành khác như truyền thông, giáo dục, chăm sóc sức khỏe, năng lượng, chính phủ, du lịch và vận tải cũng bị nhắm đến.

"Các lĩnh vực này thường dựa vào thông báo tự động, tài liệu được chia sẻ và quy trình làm việc dựa trên quyền, khiến các cảnh báo mang thương hiệu Google trở nên đặc biệt thuyết phục," thông báo cho biết thêm. "Chiến dịch này nhấn mạnh cách kẻ tấn công có thể lợi dụng các tính năng tự động hóa đám mây và quy trình làm việc hợp pháp để phát tán lừa đảo trên quy mô lớn mà không cần giả mạo truyền thống."

Cả xorlab và Ravenmail đều đã tiết lộ chi tiết về chiến dịch thu thập thông tin đăng nhập, trong đó xorlab cho biết các cuộc tấn công này cũng được sử dụng để thực hiện lừa đảo xác thực OAuth, cũng như lưu trữ các trang đăng nhập giả mạo trên các kho lưu trữ S3 của Amazon Web Services (AWS).

"Những kẻ tấn công lừa nạn nhân cấp quyền truy cập cho một ứng dụng Azure AD độc hại vào tài nguyên đám mây của họ - giành quyền truy cập vào các gói đăng ký Azure, máy ảo, bộ nhớ và cơ sở dữ liệu thông qua các quyền được ủy quyền duy trì thông qua mã thông báo truy cập và làm mới," xorlab cho biết.

"Mỗi bước tấn công đều sử dụng cơ sở hạ tầng đáng tin cậy – Google, Microsoft, AWS – khiến cho việc phát hiện hoặc ngăn chặn cuộc tấn công trở nên khó khăn tại bất kỳ điểm nào. Bất kể điểm xâm nhập là gì, nạn nhân cuối cùng cũng sẽ bị chuyển đến trang đăng nhập Microsoft 365, tiết lộ mục tiêu chính của kẻ tấn công: thông tin đăng nhập M365."