據網絡安全公司Abnormal Security近日發布的一份報告稱：發起BazaCall釣魚攻擊的威脅組織正在嘗試通過利用Google表單實施新一輪攻擊。BazaCall（又稱BazarCall）最早被發現于2020年，攻擊者通過發送假冒的電子郵件訂閱通知給目標用戶，敦促他們如有異議立刻聯系服務臺取消計劃，否則可能面臨50至500美元的收費。

在Abnormal Security最新檢測到的攻擊變種中，威脅組織使用了Google Forms創建的表單用作傳遞所謂訂閱詳情的渠道。

值得注意的是，該表單啟用了回執功能，會通過電子郵件向表單回應者發送回應副本，以便攻擊者可以發送邀請讓其自己完成表單并接收回應。

安全研究員Mike Britton表示：由于攻擊者啟用了回執選項，目標收件人將收到已完成表單的副本，類似Norton Antivirus軟件的付款確認。

使用Google Forms的巧妙之處還在于回應是從地址“forms-receipts-noreply@google[.]com”發送的，這是一個受信任的域名，因此有更高的繞過安全電子郵件網關的機會。Cisco Talos上個月曾披露過一起類似的Google Forms釣魚活動。

Britton解釋稱：谷歌表單經常使用動態生成的 URL。這些 URL 不斷變化的特性可以躲避利用靜態分析和基于簽名的檢測的傳統安全措施，這些措施依賴于已知的模式來識別威脅。

威脅攻擊者利用More_eggs后門#瞄準招聘人員

Proofpoint 在披露這一信息的同時，還揭露了一個新的網絡釣魚活動，該活動以招聘人員為目標，直接發送電子郵件，最終導致一個名為 More_eggs 的 JavaScript 后門。

這家企業安全公司將這一攻擊浪潮歸咎于一個 "技術嫻熟、有經濟動機的威脅行為者"，它追蹤到的TA4557有濫用合法信息服務和通過電子郵件提供虛假工作機會的記錄，并最終提供了More_eggs后門。

Proofpoint 說：在使用新的電子郵件技術的攻擊鏈中，一旦收件人回復了最初的電子郵件，就會收到一個回復鏈接到行為者控制的網站的 URL。

另外，還觀察到該行為者回復了一個 PDF 或 Word 附件，其中包含訪問虛假簡歷網站的說明。

More_eggs以惡意軟件即服務（malware-as-a-service）的形式提供，諸如Cobalt Group（又名Cobalt Gang）、Evilnum和FIN6其他著名的網絡犯罪團伙也在使用它。