据网络安全公司Abnormal Security近日发布的一份报告称：发起BazaCall钓鱼攻击的威胁组织正在尝试通过利用Google表单实施新一轮攻击。
BazaCall（又称BazarCall）最早被发现于2020年，攻击者通过发送假冒的电子邮件订阅通知给目标用户，敦促他们如有异议立刻联系服务台取消计划，否则可能面临50至500美元的收费。

在Abnormal Security最新检测到的攻击变种中，威胁组织使用了Google Forms创建的表单用作传递所谓订阅详情的渠道。

值得注意的是，该表单启用了回执功能，会通过电子邮件向表单回应者发送回应副本，以便攻击者可以发送邀请让其自己完成表单并接收回应。

安全研究员Mike Britton表示：由于攻击者启用了回执选项，目标收件人将收到已完成表单的副本，类似Norton Antivirus软件的付款确认。

使用Google Forms的巧妙之处还在于回应是从地址“forms-receipts-noreply@google[.]com”发送的，这是一个受信任的域名，因此有更高的绕过安全电子邮件网关的机会。Cisco Talos上个月曾披露过一起类似的Google Forms钓鱼活动。

Britton解释称：谷歌表单经常使用动态生成的 URL。这些 URL 不断变化的特性可以躲避利用静态分析和基于签名的检测的传统安全措施，这些措施依赖于已知的模式来识别威胁。

威胁攻击者利用More_eggs后门#瞄准招聘人员

Proofpoint 在披露这一信息的同时，还揭露了一个新的网络钓鱼活动，该活动以招聘人员为目标，直接发送电子邮件，最终导致一个名为 More_eggs 的 JavaScript 后门。

这家企业安全公司将这一攻击浪潮归咎于一个 "技术娴熟、有经济动机的威胁行为者"，它追踪到的TA4557有滥用合法信息服务和通过电子邮件提供虚假工作机会的记录，并最终提供了More_eggs后门。

Proofpoint 说：在使用新的电子邮件技术的攻击链中，一旦收件人回复了最初的电子邮件，就会收到一个回复链接到行为者控制的网站的 URL。

另外，还观察到该行为者回复了一个 PDF 或 Word 附件，其中包含访问虚假简历网站的说明。

More_eggs以恶意软件即服务（malware-as-a-service）的形式提供，诸如Cobalt Group（又名Cobalt Gang）、Evilnum和FIN6其他著名的网络犯罪团伙也在使用它。

参考来源：BazaCall Phishing Scammers Now Leveraging Google Forms for Deception (thehackernews.com)