Los actores de amenazas usan Google Docs para albergar ataques de phishing - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Los actores de amenazas usan Google Docs para albergar ataques de phishing

Hola, un placer verte por aquí. Soy Eduardo Arroyo y esta vez te voy a contar sobre Los actores de amenazas usan Google Docs para albergar ataques de phishing

Los actores de amenazas usan Google Docs para albergar ataques de phishing

Aproveche el servicio de documentos ampliamente utilizado que se explota para enviar enlaces maliciosos que parecen legítimos pero que en realidad roban las credenciales de las víctimas.

Los actores de amenazas se están aprovechando de Google Docs al alojar sus ataques dentro del servicio de documentos basado en la web en una nueva campaña de phishing que proporciona enlaces maliciosos destinados a robar las credenciales de las víctimas.

Investigadores de la firma de colaboración y seguridad de correo electrónico Avanan descubrieron la campaña, que es la primera vez que afirman haber visto a atacantes usar este tipo de exploit en el servicio de documentos alojados de Google, según un informe publicado el jueves por Jeremy Fuchs, gerente de contenido de marketing de Avnan.

Al alojar ataques de esta manera, los atacantes pueden eludir los escáneres de enlaces y evadir la detección mediante protecciones de seguridad comunes que tienen como objetivo verificar que los enlaces enviados por correo electrónico sean legítimos. Anteriormente, los atacantes usaban el vector de ataque en servicios más pequeños como MailGun, FlipSnack y Movable Ink, según Avnan.

El ataque comienza con un correo electrónico que incluye un mensaje que podría ser relevante para los usuarios comerciales que comúnmente usan Google Docs dentro de su entorno corporativo. En el ejemplo que se muestra en el informe, el mensaje indica que el vínculo contiene un conjunto de «nuevas reglas para el 25 de junio».

Si un usuario hace clic en el enlace, la página le resultará familiar a cualquiera que use Google Docs para compartir documentos fuera de la organización, dijo Fuchs.

«Esta, sin embargo, no es esa página», escribió. «Es una página HTML personalizada creada para parecerse a la conocida página para compartir de Google Docs».

Una vez redirigido, se pide a las víctimas potenciales que «hagan clic aquí» para descargar el documento. Si un usuario hace clic, la página redirige al sitio web de phishing malicioso real, que roba las credenciales de la víctima utilizando otra página web creada para parecerse al portal de inicio de sesión de Google, pero que en realidad está alojada en una URL claramente no afiliada con el gigante tecnológico.

El truco para crear el vector de ataque es que Google Docs realiza el trabajo pesado de la campaña, lo que hace que sea «bastante fácil de hacer», explicó Fuchs.

Primero, un atacante escribiría una página web que se parece a una página para compartir de Google Docs y luego subiría ese archivo HTML a Google Drive. Una vez que se ha escaneado el archivo, Google convierte el HTML en una página de vista previa que se parece mucho a una página típica de Google Docs.

Luego, un atacante puede hacer clic con el botón derecho en el archivo cargado y abrirlo en Google Docs, que es donde tiene lugar el aspecto simple pero integral del ataque, escribió Fuchs.

«Esta es la parte inteligente porque si simplemente haces clic en ‘Obtener enlace’, solo verás el código fuente del archivo, no la versión renderizada», escribió. Sin embargo, al manipular Google Docs, los atacantes pueden representar con éxito la página maliciosa en lugar de proporcionar una página de solo fuente a una víctima potencial, lo que no sería efectivo.

Los investigadores deben dar otro paso para que el archivo se muestre de manera que la víctima pueda reconocerlo seleccionando «Publicar en la Web» en el menú desplegable «Archivo» de Google Docs.

Luego, al presionar «Insertar» y «Publicar», Google proporcionará etiquetas para insertar que deben usarse en sus foros para mostrar contenido personalizado, pero que el atacante puede usar, menos las etiquetas iframe, para guardar el enlace malicioso que se enviará a través de la campaña de phishing.

«Este enlace ahora completará el archivo HTML como lo pretendía el atacante y también contendrá el hipervínculo de redireccionamiento al sitio web malicioso real», explicó Fuchs.

Los investigadores de Avanan también identificaron el mismo método de ataque utilizado por los actores de amenazas para falsificar un correo electrónico de phishing de DocuSign, agregó. En este caso, el botón «Ver documento» era un enlace de Google Docs publicado que en realidad era una página de inicio de sesión de DocuSign falsa que pasaba la contraseña ingresada a un servidor controlado por un atacante a través de un botón «Iniciar sesión», escribió Fuchs.

.

Deberías compartir en en tu Twitter y Facebook para que tus colegas lo vean

??? ? ? ???

Comparte