Alertan por una campaña de phishing que utiliza notificaciones legítimas de Google Cloud

El informe de Check Point Research describe una campaña de phishing en la que atacantes suplantan mensajes legítimos generados por Google mediante el uso indebido de la integración de aplicaciones de Google Cloud para distribuir correos electrónicos maliciosos que parecen provenir de una infraestructura confiable de Google. Los correos electrónicos imitan notificaciones empresariales rutinarias, como alertas de correo de voz y solicitudes de acceso o permisos a archivos, lo que los hace parecer normales y confiables para los destinatarios.

En este incidente, los atacantes enviaron 9394 correos electrónicos de phishing dirigidos a aproximadamente 3200 clientes durante los últimos 14 días. Todos los mensajes se enviaron desde la dirección legítima de Google [email protected], lo que aumentó significativamente su credibilidad y la probabilidad de llegar a las bandejas de entrada de los usuarios finales.
 
 
Método de ataque

Según las características observadas del correo electrónico y la infraestructura del remitente, la campaña parece aprovechar la tarea "Enviar correo electrónico" de la integración de aplicaciones de Google Cloud, una función diseñada para la automatización legítima del flujo de trabajo y las notificaciones del sistema. Esta funcionalidad permite que las integraciones configuradas envíen correos electrónicos a destinatarios arbitrarios, lo que explicaría cómo los atacantes pudieron distribuir mensajes directamente desde los dominios de Google sin comprometer a la propia Google.

Este comportamiento sugiere un uso indebido de las capacidades legítimas de automatización en la nube para suplantar notificaciones auténticas de Google, eludiendo los controles tradicionales de detección basados en la reputación del remitente y el dominio.

Para aumentar aún más la confianza, los correos electrónicos se ajustaban estrictamente al estilo y la estructura de las notificaciones de Google, incluyendo un formato y un lenguaje habituales. Los señuelos solían hacer referencia a mensajes de correo de voz o afirmaciones de que el destinatario había obtenido acceso a un archivo o documento compartido, como el acceso a un archivo "Q4", lo que incitaba a los destinatarios a hacer clic en enlaces incrustados y actuar de inmediato.
 
Técnica de redirección de enlaces (flujo visual)

Como se ilustra en el diagrama adjunto, el ataque se basa en un flujo de redirección de varias etapas diseñado para reducir la sospecha del usuario y retrasar la detección:

1. Clic inicial

El usuario hace clic en un botón o enlace alojado en storage.cloud.google.com, un servicio confiable de Google Cloud. Usar una URL legítima alojada en la nube en el primer paso ayuda a generar confianza y reduce la probabilidad de que el enlace sea bloqueado o cuestionado.

2. Etapa de validación y filtrado

El enlace redirige al usuario al contenido de googleusercontent.com, donde se presenta un CAPTCHA falso o una verificación basada en imágenes. Este paso tiene como objetivo bloquear los escáneres automatizados y las herramientas de seguridad, permitiendo a los usuarios reales continuar.

3. Destino final: Recopilación de credenciales

Tras pasar la etapa de validación, el usuario es redirigido a una página de inicio de sesión falsa de Microsoft alojada en un dominio ajeno a Microsoft. El atacante captura todas las credenciales introducidas en esta etapa, completando así la cadena de phishing.

Este enfoque de redirección en capas combina una infraestructura de nube confiable, controles de interacción del usuario y suplantación de marca para maximizar el éxito y minimizar la detección temprana.

Ejemplo de correos electrónicos de phishing reales que fueron detectados:

Afectados (últimos 14 días):

Por sector

El análisis muestra que la campaña se dirigió principalmente a organizaciones de los sectores manufacturero/industrial (19,6%), tecnológico/SaaS (18,9%) y financiero/bancario/seguros (14,8%), seguidas de los de servicios profesionales/consultoría (10,7%) y minorista/consumo (9,1%). Se observó una menor actividad en los sectores de medios/publicidad (7,4%), educación/investigación (6,2%), salud/ciencias biológicas (5,1%), energía/servicios públicos (3,2%), gobierno/sector público (2,5%), viajes/hotelería (1,9%) y transporte/logística (0,9%), con otros/desconocido (1,7%).

Estos sectores suelen utilizar notificaciones automatizadas, documentos compartidos y flujos de trabajo con permisos, lo que hace que las alertas de Google sean especialmente convincentes.

Por región

Las organizaciones afectadas se ubicaron principalmente en Estados Unidos (48,6%), seguidas de Asia-Pacífico (20,7%) y Europa (19,8%). Se observó un impacto adicional en Canadá (4,1%), Latinoamérica (3,0%), Oriente Medio (2,2%) y África (0,9%), con un 0,7% de casos desconocidos o sin clasificar.

Dentro de Latinoamérica, la actividad se concentró en Brasil (41%) y México (26%), seguidos de Argentina (13%), Colombia (12%), Chile (5%), Perú (3%), con porcentajes menores en otros países.

Declaración de Google

"Hemos bloqueado varias campañas de phishing que implicaban el uso indebido de una función de notificación por correo electrónico dentro de Google Cloud Application Integration. Cabe destacar que esta actividad se originó por el uso indebido de una herramienta de automatización de flujos de trabajo, no por una vulneración de la infraestructura de Google. Si bien hemos implementado protecciones para proteger a los usuarios contra este ataque específico, recomendamos mantener la cautela, ya que los actores maliciosos con frecuencia intentan suplantar marcas de confianza. Estamos tomando medidas adicionales para evitar futuros usos indebidos".

Esta campaña destaca cómo los atacantes pueden usar indebidamente funciones legítimas de automatización y flujos de trabajo en la nube para distribuir phishing a gran escala sin recurrir a la suplantación de identidad tradicional. Refuerza la necesidad de una vigilancia continua, especialmente cuando los correos electrónicos incluyen enlaces en los que se puede hacer clic, incluso cuando el remitente, el dominio y la infraestructura parecen totalmente legítimos.