據報道，網絡犯罪分子通過濫用谷歌合法云存儲服務托管惡意程序的實體，并通過繞過安全控制破壞企業網絡。

該攻擊是攻擊者針對谷歌云存儲服務域storage.googleapis.com發起的，而全球多家公司使用的都是該服務域。

自八月起，該活動主要針對銀行的員工及位于美國及英國的金融服務公司。

該攻擊起初是通過大規模電郵方式分發的，電郵中包含指向由谷歌云服務托管的惡意網站的釣魚鏈接。

研究人員經分析發現，有4,600個網絡釣魚網站使用了合法托管服務，也可稱為“名譽聯網”，該方法可借知名的流行托管服務來躲避檢測。

鑒于電郵安全系統可檢測惡意附件，攻擊者并未使用惡意附件，相反，他們使用電子郵件中的惡意鏈接以繞過電郵安全系統。

僅有已存在于威脅存儲庫的惡意URL才可能被識別出來，而鑒于攻擊者會不斷改變托管域的負載，這種情況并不常見。

谷歌云存儲的感染過程

首先，攻擊者從被入侵的電郵賬戶發送包含嵌入式URL的電郵啟動整個惡意行動。

偽裝為谷歌云存儲服務合法URL的惡意URL可被用來傳輸兩類程序的實體以感染終端節點：VBS腳本和JAR文件。

攻擊者并未使用大多數網絡犯罪分子使用的經過混淆（偽裝）的惡意VBS腳本。

據Menlo Security稱，這些VBS腳本是由同一工具包創建的，因為這三個腳本似乎都屬于Houdini惡意軟件系列；而經鑒定，我們發現其中一個JAR文件（Swift invoice.jar）屬于Houdini/jRAT惡意軟件系列。

研究人員表示，正在對其他JAR文件展開調查，且認為這些文件應屬于Qrat惡意軟件系列。