Hackers abusan de dominios de confianza de Google para ocultar enlaces de phishing de las pasarelas de correo electrónico
Los ataques de phishing no son nada nuevo, pero los atacantes siguen encontrando formas más inteligentes de mantenerse un paso por delante de las herramientas de seguridad.
La última campaña que circula es un recordatorio contundente de que la confianza, especialmente la que las organizaciones depositan en las grandes plataformas tecnológicas, puede convertirse en un arma.
Los hackers ahora ocultan enlaces maliciosos dentro de una cadena de servicios legítimos de Google, lo que hace casi imposible que los sistemas automatizados de seguridad del correo electrónico los detecten antes de que lleguen a la bandeja de entrada de alguien.
La campaña funciona apilando varios dominios de confianza de Google dentro de un solo enlace. Cuando las herramientas de seguridad escanean el correo, solo ven direcciones de Google conocidas y de buena reputación.
El destino oculto, la página de phishing real, permanece completamente fuera de la vista hasta que una persona real hace clic en el enlace. Esa única brecha entre lo que ve una máquina y lo que experimenta un humano es exactamente en lo que los atacantes están esperando.
Investigadores de KnowBe4 ThreatLabs dijeron en un informe compartido con Cyber Security News (CSN) que están siguiendo activamente esta campaña e identificaron el método de entrega de triple cadena que la hace tan eficaz para evadir la detección.
La técnica apila tres servicios de Google en secuencia: Google Meet, Google Search Redirect y Google Ad Service, para redirigir a las víctimas a destinos maliciosos sin levantar ninguna alarma en el proceso.
Los señuelos usados para atraer a las víctimas están diseñados para crear urgencia. Los atacantes elaboran correos electrónicos que parecen actualizaciones de entrega de FedEx, solicitudes de documentos DocuSign y AutoSign, alertas de caducidad de contraseñas de Microsoft 365, remesas de pagos falsas y correos electrónicos que contienen códigos QR maliciosos.
Cada señuelo está diseñado para que el receptor sienta que se requiere una acción inmediata. Una vez que una víctima hace clic, la campaña toma uno de dos caminos dependiendo del tipo de correo electrónico recibido.
Algunas víctimas acaban en una página de inicio de sesión convincente y perfecta en Microsoft 365 que ya tiene su correo electrónico pre-rellenado, preparado para robo de credenciales.
Otros son llevados a un documento compartido falso de OneDrive que muestra un código pregenerado de dispositivo de Microsoft que, si se introduce, otorga a los atacantes acceso completo a la cuenta corporativa de la víctima sin necesidad de su contraseña.
Los hackers abusan de dominios de confianza de Google
El núcleo de este ataque reside en lo que los investigadores llaman la Matriz de Entrega Anidada. Los atacantes construyen una URL que pasa por tres dominios propiedad de Google antes de llegar al destino controlado por el atacante.
La cadena se ve así: SafeLinks enruta a meet.google.com/linkredirect, que pasa a google.com/url, que luego redirige a través de adservice.google.com.ph antes de acabar finalmente en la página maliciosa.
Las pasarelas de correo electrónico seguras inspeccionan cada salto en esta cadena y no encuentran nada sospechoso porque todos los dominios que revisan pertenecen a Google. Las puntuaciones de reputación son limpias en todos los aspectos.
El escáner entonces considera el correo seguro y lo deja pasar, sin saber que el destino final es una página de phishing esperando a que un empleado desprevenido haga clic.
Robo de credenciales y secuestro de sesión: La carga útil de dos frentes
Cuando las víctimas llegan a la página de phishing, el ataque se divide en dos resultados distintos. La primera es la clásica recopilación de credenciales, donde una página de inicio de sesión falsa de M365 captura directamente nombres de usuario y contraseñas.
Lo que hace esto especialmente peligroso es que la dirección de correo electrónico de la víctima ya está pre-poblada en la página, lo que le da un aire de legitimidad que disminuye sospechas.
El segundo resultado es más sofisticado. A las víctimas se les muestra una vista previa falsa de documentos de OneDrive que incluye un código de autenticación de dispositivo Microsoft.
Si la víctima introduce este código en una página legítima de inicio de sesión de Microsoft, el atacante accede silenciosamente a la sesión corporativa. Este método, conocido como phishing por código de dispositivo, no requiere contraseña robada y puede eludir por completo la autenticación multifactor.
Se insta a los equipos de seguridad a tratar cualquier correo que contenga cadenas de redirección anidadas, incluso aquellos que atraviesen dominios confiables, con mayor escrutinio.
Las organizaciones deben formar a los empleados para que verifiquen los enlaces antes de hacer clic, estén atentos a los formularios de inicio de sesión prerellenados en páginas de inicio de sesión inesperados y reporten cualquier indicación sospechosa de código de dispositivo de inmediato.
Bloquear patrones de redirección desconocidos a nivel de gateway y habilitar políticas de acceso condicional dentro de entornos Microsoft también puede limitar el daño que este tipo de ataque puede causar.
Indicadores de compromiso (IoC):
| Tipo | Indicador | Descripción |
|---|---|---|
| Dominio | vazquezfleytas[.]com | Dominio de phishing controlado por atacantes |
| Dominio | edificiocristal[.]pt | Dominio de phishing controlado por atacantes |
| Dominio | Velvorra[.]com | Dominio de phishing controlado por atacantes |
| Dominio | furqanmustafa[.]com | Dominio de phishing controlado por atacantes |
| Dominio | Tecnologías Unidas[.]Vu | Dominio de phishing controlado por atacantes |
| Dominio | CloudbemismanufacturingCompanyGroup[.]rydezyhrsysteminc[.]Vu | Dominio de phishing controlado por atacantes |
| Dominio | Triunfo de serviciogrupossimplicimplicas valoraciones[.]spectrhwqumbrands[.]Vu | Dominio de phishing controlado por atacantes |
| Dominio | cloudgillettebrandberkshirehathaway[.]rtzcoekdrporation[.]Vu | Dominio de phishing controlado por atacantes |
| Dominio | odahlzr5lm[.]Fiabilidadenoperaciones[.]de | Dominio de phishing controlado por atacantes |
| App/Dominio | staiwooje[.]App | Endpoint de phishing controlado por atacantes |
| URL de trabajador de Cloudflare | Link-form-unj9[.]p-SM7RW6RU[.]Trabajadores[.]dev | URL maliciosa de entrega de los trabajadores de Cloudflare |
| URL de trabajador de Cloudflare | data-cloud-ofe8[.]P-8yejy42O[.]Trabajadores[.]dev | URL maliciosa de entrega de los trabajadores de Cloudflare |
Nota: Las direcciones IP y dominios se eliminan intencionadamente (por ejemplo, ) para evitar la resolución accidental o el hipervínculo. Re-fang solo dentro de plataformas controladas de inteligencia de amenazas como MISP, VirusTotal o tu SIEM.
Fuente: Cybersecuritinews
Comentarios
Publicar un comentario