Des chercheurs en cybersécurité ont révélé les détails d'une campagne de phishing dans laquelle des attaquants usurpent l'identité de messages légitimes générés par Google en abusant du service d'intégration d'applications Google Cloud pour distribuer des e-mails.
L'activité, a déclaré Check Point, exploite la confiance associée à l'infrastructure Google Cloud pour envoyer des messages à partir d'une adresse e-mail légitime (“noreply-application-integration@google[.]com”) afin qu'ils puissent contourner les filtres de sécurité de messagerie traditionnels et avoir de meilleures chances d'atteindre les boîtes de réception des utilisateurs.
“Les e-mails imitent les notifications professionnelles de routine, telles que les alertes de messagerie vocale et les demandes d'accès ou d'autorisation aux fichiers, les faisant paraître normaux et dignes de confiance aux destinataires”, a déclaré la société de cybersécurité.
Des attaquants ont été observés envoyant 9 394 e-mails de phishing ciblant environ 3 200 clients sur une période de 14 jours observée en décembre 2025, les organisations concernées étant situées aux États-Unis, en Asie-Pacifique, en Europe, au Canada et en Amérique latine.
Au centre de la campagne se trouve l'abus de la tâche d'intégration d'application « Envoyer un e-mail », qui permet aux utilisateurs d'envoyer des notifications par e-mail personnalisées à partir d'une intégration. Google note dans sa documentation d'assistance que vous ne pouvez ajouter qu'un maximum de 30 destinataires à la tâche.
Le fait que ces e-mails puissent être configurés pour être envoyés à n'importe quelle adresse e-mail arbitraire démontre la capacité de l'acteur malveillant à abuser d'une capacité d'automatisation légitime à son avantage et à envoyer des e-mails à partir de domaines appartenant à Google, contournant ainsi les contrôles DMARC et SPF.
“Pour accroître encore la confiance, les e-mails suivaient de près le style et la structure de notification de Google, y compris le format et le langage familiers”, a déclaré Check Point. “Les pots de miel faisaient généralement référence à des messages vocaux ou à des affirmations selon lesquelles le destinataire avait obtenu l'accès à un fichier ou un document partagé, comme l'accès à un fichier 'Q4', invitant les destinataires à cliquer sur des liens intégrés et à prendre des mesures immédiates.”
La chaîne d'attaque est un flux de redirection en plusieurs étapes qui commence lorsqu'un destinataire d'e-mail clique sur un lien hébergé sur Storage.cloud.google.[.]com, un autre service Google Cloud fiable. Cet effort est considéré comme une autre tentative visant à réduire les soupçons des utilisateurs et à lui donner un vernis de légitimité.
Le lien redirige ensuite l'utilisateur vers le contenu fourni par googleusercontent.[.]com, en leur présentant un faux CAPTCHA ou une vérification basée sur une image qui agit comme une barrière en empêchant les scanners automatisés et les outils de sécurité d'examiner l'infrastructure d'attaque, tout en permettant aux utilisateurs réels de passer.
Une fois la phase de validation terminée, l'utilisateur est redirigé vers une fausse page de connexion Microsoft hébergée sur un domaine non Microsoft et vole finalement les informations d'identification saisies par les victimes.
En réponse aux résultats, Google a bloqué les efforts de phishing abusant de la fonctionnalité de notification par e-mail dans l'intégration de l'application Google Cloud et a ajouté qu'il prenait des mesures supplémentaires pour empêcher toute nouvelle utilisation abusive.
L'analyse de Check Point a révélé que la campagne ciblait principalement les secteurs de la fabrication, de la technologie, de la finance, des services professionnels et de la vente au détail, bien que d'autres secteurs verticaux aient été mis en avant, notamment les médias, l'éducation, la santé, l'énergie, le gouvernement, les voyages et les transports.
« Ces secteurs s'appuient souvent sur des notifications push, des documents partagés et des flux de travail basés sur des autorisations, ce qui rend les alertes de marque Google particulièrement attrayantes », a-t-il ajouté. « Cette campagne montre comment les attaquants peuvent abuser des capacités légitimes d'automatisation et de flux de travail du cloud pour distribuer du phishing à grande échelle sans le phishing traditionnel.
'
Mise à jour
Xorlab et Ravenmail ont révélé les détails de la campagne de collecte d'informations d'identification, le premier notant que les attaques sont également utilisées pour effectuer du phishing par consentement OAuth, ainsi que pour héberger de fausses pages de connexion dans les compartiments S3 d'Amazon Web Services (AWS).
“Les attaquants incitent les victimes à accorder à une application Azure AD malveillante l'accès à leurs ressources cloud, accédant ainsi aux abonnements Azure, aux machines virtuelles, au stockage et aux bases de données via des autorisations déléguées qui persistent via des jetons d'accès et d'actualisation”, a déclaré xorlab.
« Chaque saut utilise une infrastructure fiable (Google, Microsoft, AWS), ce qui rend l'attaque difficile à détecter ou à bloquer à tout moment. Quel que soit le point d'entrée, les victimes finissent par atteindre la page de connexion Microsoft 365, révélant la cible principale des attaquants : les informations d'identification M365.