Cette attaque concerne des domaines récemment enregistrés hébergeant l’application web malveillante. L’application utilisée pour cette attaque était hébergée sur des domaines créés tout récemment. Google a autorisé l’application à avoir accès aux mails et aux carnets d’adresse de ses clients par le biais de son service d’authentification. C’est pourquoi nombre d’entre eux ont cru répondre à une demande de Google et ont cliqué sur le lien.

Les équipes de Zscaler ont constaté que le service mailinator avait été utilisé pour diffuser les premiers spams contenant les liens Google Doc aux adresses qui avaient été récupérées. La capture d’écran ci-contre montre la page sur laquelle l’application demande des permissions à l’utilisateur en se faisant passer pour Google. Les autorisations demandées sont les suivantes :
– Lecture, envoi, suppression et gestion des messages
– Gestion des contacts

Le hacker s’est servi de “social engineering” (ingénierie sociale[1]) pour s’assurer de la réussite de cette campagne. Celle-ci est devenue virale en quelques minutes car la majorité des messages spams a été envoyée de comptes Google à leurs propres contacts. Du fait de ce mode de fonctionnement, il a été difficile de la détecter.
Google a rapidement résolu le problème et a apporté des éléments de mise à jour sur la situation via son compte Twitter (@googledocs). Zscaler a, de son côté, instauré le blocage des domaines liés à cette campagne, assurant ainsi la protection de ses clients.