idNSA.id - Kelemahan keamanan yang belum ditambal di Google Drive dapat dimanfaatkan oleh penyerang malware untuk mendistribusikan file berbahaya yang disamarkan sebagai dokumen atau gambar yang sah, memungkinkan pelaku jahat untuk melakukan serangan spear-phishing secara komparatif dengan tingkat keberhasilan yang tinggi.
Masalah keamanan terbaru — yang disadari Google tetapi, sayangnya, dibiarkan belum ditambal — berada pada fungsi " kelola versi " yang ditawarkan oleh Google Drive yang memungkinkan pengguna mengunggah dan mengelola berbagai versi file, serta cara antarmukanya menyediakan versi baru dari file tersebut kepada pengguna.
Logikanya, versi kelola secara fungsional harus memungkinkan pengguna Google Drive untuk memperbarui versi lama dari sebuah file dengan versi baru yang memiliki ekstensi file yang sama, tetapi ternyata bukan itu masalahnya.
Menurut A. Nikoci, seorang administrator sistem berdasarkan profesi yang melaporkan cacat tersebut ke Google dan kemudian mengungkapkannya ke The Hacker News, yang terpengaruh secara fungsional memungkinkan pengguna untuk mengunggah versi baru dengan ekstensi file apa pun untuk file yang ada di penyimpanan cloud, bahkan dengan executable berbahaya.
Seperti yang ditunjukkan dalam video demo — yang Nikoci bagikan secara eksklusif dengan The Hacker News — dalam melakukannya, versi sah dari file yang telah dibagikan di antara sekelompok pengguna dapat diganti dengan file berbahaya, yang jika dipratinjau secara online tidak menunjukkan perubahan yang baru dibuat atau membunyikan alarm, tetapi saat diunduh dapat digunakan untuk menginfeksi sistem yang ditargetkan.
"Google mengizinkan Anda mengubah versi file tanpa memeriksa apakah itu jenis yang sama," kata Nikoci. "Mereka bahkan tidak memaksakan ekstensi yang sama."
Tak perlu dikatakan, masalah ini membuka pintu untuk kampanye spear-phishing yang sangat efektif yang memanfaatkan meluasnya layanan cloud seperti Google Drive untuk mendistribusikan malware.
Perkembangan ini terjadi karena Google baru-baru ini memperbaiki kelemahan keamanan di Gmail yang dapat memungkinkan pelaku ancaman untuk mengirim email palsu yang meniru pelanggan Gmail atau G Suite, meskipun kebijakan keamanan DMARC / SPF yang ketat diaktifkan.
Peretas Malware Suka Google Drive
Penipuan spear-phishing biasanya mencoba mengelabui penerima agar membuka lampiran berbahaya atau mengklik tautan yang tampaknya tidak berbahaya, sehingga memberikan informasi rahasia, seperti kredensial akun, kepada penyerang dalam prosesnya.
Tautan dan lampiran juga dapat digunakan untuk membuat penerima mengunduh malware tanpa disadari yang dapat memberi penyerang akses ke sistem komputer pengguna dan informasi sensitif lainnya.
Masalah keamanan baru ini tidak berbeda. Fitur pembaruan file Google Drive dimaksudkan sebagai cara mudah untuk memperbarui file bersama, termasuk kemampuan untuk mengganti dokumen dengan versi yang benar-benar baru dari sistem. Dengan cara ini, file yang dibagikan dapat diperbarui tanpa mengubah tautannya.
Namun, tanpa validasi apa pun untuk ekstensi file, hal ini dapat berpotensi menimbulkan konsekuensi serius saat pengguna file bersama, yang, setelah pemberitahuan perubahan melalui email, akhirnya mengunduh dokumen dan tanpa disadari menginfeksi sistem mereka dengan perangkat lunak perusak.
Skenario seperti itu dapat dimanfaatkan untuk melakukan whaling attacks, taktik phishing yang sering digunakan oleh geng penjahat dunia maya untuk menyamar sebagai personel manajemen senior dalam suatu organisasi dan menargetkan individu tertentu, berharap untuk mencuri informasi sensitif atau mendapatkan akses ke sistem komputer mereka untuk tujuan kriminal.
Lebih buruk lagi, Google Chrome tampaknya secara implisit mempercayai file yang diunduh dari Google Drive meskipun file tersebut terdeteksi oleh perangkat lunak antivirus lain sebagai berbahaya.
Layanan Cloud Menjadi Vektor Serangan
Meskipun tidak ada bukti bahwa cacat ini telah dieksploitasi di alam liar, tidak akan sulit bagi penyerang untuk menggunakannya kembali demi keuntungan mereka mengingat bagaimana layanan cloud telah menjadi sarana pengiriman malware dalam beberapa serangan spear-phishing dalam beberapa bulan terakhir.
Awal tahun ini, Zscaler mengidentifikasi kampanye phishing yang menggunakan Google Drive untuk mengunduh password stealer setelah penyusupan awal.
Bulan lalu, Check Point Research and Cofense menyoroti serangkaian kampanye baru di mana pelaku ancaman ditemukan tidak hanya menggunakan email spam untuk menyematkan malware yang dihosting di layanan seperti Dropbox dan Google Drive, tetapi juga mengeksploitasi layanan penyimpanan cloud untuk menghosting halaman phishing.
ESET, dalam analisis grup Evilnum APT, mengamati tren serupa di mana perusahaan fintech di Eropa dan Inggris telah ditargetkan dengan email spear-phishing yang berisi tautan ke file ZIP yang dihosting di Google Drive untuk mencuri lisensi perangkat lunak, informasi kartu kredit pelanggan, serta dokumen investasi dan perdagangan.
Demikian pula, Fortinet, dalam kampanye yang terlihat awal bulan ini, menemukan bukti umpan phishing bertema COVID-19 yang konon memperingatkan pengguna tentang pembayaran tertunda karena pandemi, hanya untuk mengunduh Trojan akses jarak jauh NetWire yang dihosting di URL Google Drive.
Dengan scammer dan penjahat yang berusaha keras untuk menyembunyikan niat jahat mereka, penting bagi pengguna untuk terus mengawasi email yang mencurigakan, termasuk pemberitahuan Google Drive, untuk mengurangi kemungkinan risiko.
Sumber: TheHackerNews, Foto: TheHackerNews
