image

Google App Engine misbruikt voor malware en phishing

maandag 21 september 2020, 10:13 door Redactie, 0 reacties

Een beveiligingsonderzoeker waarschuwt voor een manier waarop cybercriminelen Google App Engine domeinen misbruiken om phishingsites en malware te verspreiden. En de truc blijkt kinderlijk eenvoudig en is lastig tegen te houden.

Volgens beveiligingsexpert Marcel Afrahim proberen kwaadwillenden al geruime tijd legitieme (cloud)diensten te gebruiken voor hun malafide praktijken. Deze techniek is echter nieuw en maakt gebruik van Google App Engine, de clouddienst voor het ontwikkelen en hosten van webapplicaties op de servers van Google.

Cybercriminelen zorgen ervoor dat ze hun kwaadaardige app in de App Engine van Google laten draaien, met een website of bestand die daarnaar verwijst. Elke service en versie die naar die app verwijst krijgt een eigen url (VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com).

Als er echter een fout in de url wordt gemaakt, worden gebruikers ‘soft routed’ doorgestuurd naar de standaard hostnaam van de dienst. Dit betekent dat in het eerste deel van de url, dat naar de hostnaam verwijst, alles ingevuld kan worden zolang het volgende deel van de url, het project-id, maar klopt.

Volgens Afrahim zullen beveiligingstools de toegang tot dergelijke urls niet blokkeren omdat ze geen onderscheid maken tussen project-id en versienummer in het adres. De url lijkt juist heel geloofwaardig en betrouwbaar omdat appspot.com een bekende en vertrouwde domein is. Omdat App Engine ook bestanden kan hosten, kunnen criminelen dus direct naar hun malware linken, zonder dat de beveiligingssoftware argwaan krijgt.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.