Исследователи в области кибербезопасности из компании Check Point раскрыли детали сложной многоступенчатой фишинговой кампании, зафиксированной в декабре 2025 года. В течение 14-дневного периода злоумышленники разослали 9 394 фишинговых письма, нацеленных примерно на 3 200 клиентов. Главной особенностью атаки стало злоупотребление легитимным сервисом Google Cloud Application Integration, что позволило преступникам маскироваться под официальные сообщения, генерируемые системой Google.
Техническая реализация атаки строилась на эксплуатации функции «Send Email» (Отправить электронное письмо) внутри сервиса интеграции приложений. Несмотря на то, что техническая документация Google указывает на ограничение в максимум 30 получателей для одной задачи, злоумышленники настроили инструменты автоматизации для рассылки кастомизированных писем на произвольные адреса. Поскольку источником сообщений являлись подлинные домены, принадлежащие Google, письма успешно проходили проверки аутентификации DMARC и SPF, избегая блокировки традиционными системами обнаружения спуфинга.
Визуальное оформление вредоносных писем имитировало стандартные корпоративные уведомления, чтобы усыпить бдительность жертв. В качестве приманок использовались темы, требующие немедленного внимания: оповещения о голосовой почте, запросы на доступ к файлам или разрешениям, а также уведомления о предоставлении доступа к общему файлу с названием «Q4». В тексте содержались встроенные ссылки, призывающие пользователя совершить срочное действие.
Цепочка атаки была тщательно спланирована и включала несколько этапов перенаправления для фильтрации защитных ботов. При нажатии на ссылку в письме пользователь попадал на ресурс, размещенный на домене [.]com. Использование доверенного облачного хранилища Google на первом этапе позволяло снизить подозрения со стороны систем безопасности и самих пользователей.
На следующем этапе жертва перенаправлялась на контент, размещенный на домене googleusercontent[.]com. Здесь злоумышленники применяли тактику уклонения: пользователю демонстрировалась фальшивая CAPTCHA или графическая проверка. Этот механизм предназначался для того, чтобы отсеять автоматизированные сканеры безопасности, пропуская дальше только реальных людей, которые могли вручную пройти верификацию.
Финальная стадия атаки заключалась в перенаправлении пользователя на поддельную страницу входа в Microsoft, которая размещалась на стороннем домене, не имеющем отношения к корпорации Microsoft. Конечной целью всей операции была кража учетных данных жертв, которые они вводили в фальшивые формы авторизации, полагая, что проходят стандартную процедуру входа.
География кампании охватила широкий спектр регионов, включая США, Азиатско-Тихоокеанский регион, Европу, Канаду и Латинскую Америку. Аналитики Check Point отметили, что преступники выбирали сектора, в которых рабочие процессы сильно зависят от автоматических уведомлений и обмена документами. Основными целями стали производственные предприятия, технологические компании, финансовый сектор, сфера профессиональных услуг и ритейл.
Помимо основных вертикалей, атаке подверглись и другие отрасли. В список пострадавших вошли медиа, образование, здравоохранение, энергетика, правительственные учреждения, а также сферы туризма и транспорта. Масштабный характер выбора целей свидетельствует о стремлении злоумышленников максимизировать эффективность кампании за счет эксплуатации доверия к облачной инфраструктуре.
Компания Google отреагировала на инцидент, заблокировав конкретные фишинговые активности, злоупотреблявшие функцией Application Integration. Представители технологического гиганта также сообщили о внедрении дополнительных мер безопасности, направленных на предотвращение подобного неправомерного использования функции уведомлений в будущем.
Изображение носит иллюстративный характер
Техническая реализация атаки строилась на эксплуатации функции «Send Email» (Отправить электронное письмо) внутри сервиса интеграции приложений. Несмотря на то, что техническая документация Google указывает на ограничение в максимум 30 получателей для одной задачи, злоумышленники настроили инструменты автоматизации для рассылки кастомизированных писем на произвольные адреса. Поскольку источником сообщений являлись подлинные домены, принадлежащие Google, письма успешно проходили проверки аутентификации DMARC и SPF, избегая блокировки традиционными системами обнаружения спуфинга.
Визуальное оформление вредоносных писем имитировало стандартные корпоративные уведомления, чтобы усыпить бдительность жертв. В качестве приманок использовались темы, требующие немедленного внимания: оповещения о голосовой почте, запросы на доступ к файлам или разрешениям, а также уведомления о предоставлении доступа к общему файлу с названием «Q4». В тексте содержались встроенные ссылки, призывающие пользователя совершить срочное действие.
Цепочка атаки была тщательно спланирована и включала несколько этапов перенаправления для фильтрации защитных ботов. При нажатии на ссылку в письме пользователь попадал на ресурс, размещенный на домене [.]com. Использование доверенного облачного хранилища Google на первом этапе позволяло снизить подозрения со стороны систем безопасности и самих пользователей.
На следующем этапе жертва перенаправлялась на контент, размещенный на домене googleusercontent[.]com. Здесь злоумышленники применяли тактику уклонения: пользователю демонстрировалась фальшивая CAPTCHA или графическая проверка. Этот механизм предназначался для того, чтобы отсеять автоматизированные сканеры безопасности, пропуская дальше только реальных людей, которые могли вручную пройти верификацию.
Финальная стадия атаки заключалась в перенаправлении пользователя на поддельную страницу входа в Microsoft, которая размещалась на стороннем домене, не имеющем отношения к корпорации Microsoft. Конечной целью всей операции была кража учетных данных жертв, которые они вводили в фальшивые формы авторизации, полагая, что проходят стандартную процедуру входа.
География кампании охватила широкий спектр регионов, включая США, Азиатско-Тихоокеанский регион, Европу, Канаду и Латинскую Америку. Аналитики Check Point отметили, что преступники выбирали сектора, в которых рабочие процессы сильно зависят от автоматических уведомлений и обмена документами. Основными целями стали производственные предприятия, технологические компании, финансовый сектор, сфера профессиональных услуг и ритейл.
Помимо основных вертикалей, атаке подверглись и другие отрасли. В список пострадавших вошли медиа, образование, здравоохранение, энергетика, правительственные учреждения, а также сферы туризма и транспорта. Масштабный характер выбора целей свидетельствует о стремлении злоумышленников максимизировать эффективность кампании за счет эксплуатации доверия к облачной инфраструктуре.
Компания Google отреагировала на инцидент, заблокировав конкретные фишинговые активности, злоупотреблявшие функцией Application Integration. Представители технологического гиганта также сообщили о внедрении дополнительных мер безопасности, направленных на предотвращение подобного неправомерного использования функции уведомлений в будущем.
