Fuchs写道，Avanan首次发现谷歌文档、表单和幻灯片的评论功能可被用来发送垃圾邮件，但到目前为止，谷歌尚未对该问题作出任何回应。

他在报告中写道，从那时起，这个已知的漏洞还没有被谷歌完全关闭或进行修复。

报告称，到目前为止，攻击者通过利用谷歌基于云端的文字处理应用程序的功能，已经攻击了30个用户的500多个收件箱，来自100多个不同的Gmail账户。

攻击者针对谷歌文档的用户，在文档中添加评论，用“@”提到目标用户，从而自动向该人的收件箱发送一封邮件。Fuchs说，这封来自谷歌的电子邮件包括文本和恶意链接。

报告中还包括了一个使用相同方法针对谷歌幻灯片（该套件的演示应用程序）进行攻击的例子。

躲避检测

Fuchs指出，有许多原因使受害者难以识别那些评论后发送给他们的电子邮件是恶意的。首先，发件人的电子邮件地址没有显示，只有攻击者的名字，这就使得不法分子可以冒充合法的实体来攻击受害者。

他写道，这种攻击也让反垃圾邮件过滤器更难判断邮件的安全性，甚至连最终的用户也很难识别出来。

例如，黑客可以创建一个免费的Gmail账户。

他指出，评论区中的恶意攻击很难被发现的，因为终端用户并不知道评论是来自哪里。

Fuchs写道，它只会说Bad Actor在以下文件的评论中提到了你，如果Bad Actor是你的一个同事，它就会显得很可信。

该电子邮件还包含了完整的评论内容，以及链接和文本，这意味着受害者永远不需要去看文件，因为有效载荷就是电子邮件本身。

最后，攻击者甚至不需要分享文件，只要在评论中提到这个人就足够了。

Fuchs写道：“那些常见的邮件保护措施不会去标记这些电子邮件，因为通知是直接来自谷歌，而谷歌在大多数的允许名单上，并且受到用户的信任。事实上，他说高级威胁防护系统在其扫描中就已经忽略了这个攻击载体。”

谷歌文档作为攻击面

研究人员说，这一攻击活动似乎在预示着利用谷歌协作应用程序的评论功能进行恶意攻击的活动在不断增加，如果不加以制止，这些攻击可能会继续下去。

6月，Avanan研究人员首次发现威胁攻击者在谷歌文件中进行钓鱼攻击，文件中包含了旨在窃取受害者凭证的恶意链接。当时，他们认为这是对一个新的应用程序的攻击利用。

然后，如前所述，研究人员在10月首次发现威胁者利用评论功能，接着是12月进行的大量攻击。这些攻击在1月3日报告给了谷歌，内容为“通过谷歌的内置工具，利用由此产生的电子邮件进行钓鱼。”

Avanan建议用户在点击Google Docs评论之前，仔细检查评论中的电子邮件地址，确保它是合法的。根据该报告，他们还建议用户在审查评论时养成良好的安全习惯，仔细检查链接和检查语法。

Fuchs建议：“如果不确定是否安全，请及时联系合法的发件人，确认确实是他们有意发送的。”

他补充说，安全专业人员可以通过部署安全保护措施来防范针对文件共享和整个协作应用程序套件的攻击。

文章来源：嘶吼专业版，参考：https://threatpost.com/attackers-exploit-flaw-google-docs-comments/177412/