Este informe de Check Point Researchers describe una campaña de phishing en la que atacantes suplantan mensajes legítimos generados por Google mediante el uso indebido de la integración de aplicaciones de Google Cloud para distribuir correos electrónicos maliciosos que parecen provenir de una infraestructura confiable de Google. Los correos electrónicos imitan notificaciones empresariales rutinarias, como alertas de correo de voz y solicitudes de acceso o permisos a archivos, lo que los hace parecer normales y confiables para los destinatarios.
En este incidente, los atacantes enviaron 9394 correos electrónicos de phishing dirigidos a aproximadamente 3200 usuarios durante los últimos 14 días. Todos los mensajes se enviaron desde la dirección legítima de Google noreply-application-integration@google.com, lo que aumentó significativamente su credibilidad y la probabilidad de llegar a las bandejas de entrada de los usuarios finales.
Método de ataque
Según las características del correo electrónico observadas y la infraestructura del remitente, la campaña parece aprovechar la tarea "Enviar correo electrónico" de la integración de aplicaciones de Google Cloud, una función diseñada para la automatización legítima del flujo de trabajo y las notificaciones del sistema. Esta funcionalidad permite que las integraciones configuradas envíen correos electrónicos a destinatarios al azar, lo que explicaría cómo los atacantes pudieron distribuir mensajes directamente desde los dominios de Google sin comprometer a la propia Google.
"Este comportamiento sugiere un uso indebido de las capacidades legítimas de automatización en la nube para suplantar notificaciones auténticas de Google, eludiendo los controles tradicionales de detección basados en dominios y reputación del remitente", dijo Ángel Salazar Gerente de Ingeniería de Canales en Latinoamérica de Check Point.
Para aumentar aún más la confianza, los correos electrónicos seguían fielmente el estilo y la estructura de las notificaciones de Google, incluyendo un formato y un lenguaje habituales. Los señuelos solían hacer referencia a mensajes de correo de voz o afirmaciones de que el destinatario había obtenido acceso a un archivo o documento compartido, como el archivo "Q4", lo que inducía a los destinatarios a hacer clic en enlaces incrustados y actuar de inmediato.
Como se ilustra en el diagrama adjunto, el ataque se basa en un flujo de redirección de varias etapas diseñado para reducir la sospecha del usuario y retrasar la detección:
1. Clic inicial
El usuario hace clic en un botón o enlace alojado en storage.cloud.google.com, un servicio confiable de Google Cloud. Usar una URL legítima alojada en la nube como primer paso ayuda a generar confianza y reduce la probabilidad de que el enlace sea bloqueado o cuestionado.
2. Etapa de validación y filtrado
El enlace redirige al usuario a contenido proporcionado por googleusercontent.com, donde se presenta un CAPTCHA falso o una verificación basada en imágenes. Este paso tiene como objetivo bloquear los escáneres automatizados y las herramientas de seguridad, permitiendo a los usuarios reales continuar.
3. Destino final: Recopilación de credenciales
Tras pasar la etapa de validación, el usuario es redirigido a una página de inicio de sesión falsa de Microsoft alojada en un dominio ajeno a Microsoft. El atacante captura las credenciales introducidas en esta etapa, completando así la cadena de phishing.
Este enfoque de redirección por capas combina una infraestructura en la nube confiable, comprobaciones de la interacción del usuario y suplantación de marca para maximizar el éxito y minimizar la detección temprana.
Afectados (últimos 14 días):
Por sector:
El análisis muestra que la campaña se dirigió principalmente a organizaciones de manufactura/industria (19,6%), tecnología/SaaS (18,9%) y finanzas/banca/seguros (14,8%), seguidas de servicios profesionales/consultoría (10,7%) y comercio minorista/consumo (9,1%). Se observó una menor actividad en los sectores de medios/publicidad (7,4%), educación/investigación (6,2%), salud/ciencias biológicas (5,1%), energía/servicios públicos (3,2%), gobierno/sector público (2,5%), viajes/hotelería (1,9%) y transporte/logística (0,9%), junto con otros/desconocido (1,7%).
Estos sectores suelen utilizar notificaciones automatizadas, documentos compartidos y flujos de trabajo basados en permisos, lo que hace que las alertas de Google sean especialmente convincentes.
Por región:
Las organizaciones afectadas se ubicaron principalmente en Estados Unidos (48,6%), seguidas de Asia-Pacífico (20,7%) y Europa (19,8%). Se observó un impacto adicional en Canadá (4,1%), Latinoamérica (3,0%), Oriente Medio (2,2%) y África (0,9%), con un 0,7% de casos desconocidos o sin clasificar.
En Latinoamérica, la actividad se concentró en Brasil (41%) y México (26%), seguidos de Argentina (13%), Colombia (12%), Chile (5%) y Perú (3%), con porcentajes menores en otros países.
Declaración de Google:
“Hemos bloqueado varias campañas de phishing que implicaban el uso indebido de una función de notificación por correo electrónico dentro de Google Cloud Application Integration. Cabe destacar que esta actividad se originó por el uso indebido de una herramienta de automatización de flujos de trabajo, no por una vulneración de la infraestructura de Google. Si bien hemos implementado protecciones para proteger a los usuarios contra este ataque específico, recomendamos mantener la cautela, ya que los actores maliciosos con frecuencia intentan suplantar marcas de confianza. Estamos tomando medidas adicionales para evitar futuros usos indebidos”.
Esta campaña destaca cómo los atacantes pueden usar indebidamente funciones legítimas de automatización y flujos de trabajo en la nube para distribuir phishing a gran escala sin recurrir a la suplantación de identidad tradicional. Refuerza la necesidad de una vigilancia continua, especialmente cuando los correos electrónicos incluyen enlaces en los que se puede hacer clic, incluso cuando el remitente, el dominio y la infraestructura parecen totalmente legítimos.
Read less 
Tabatinga
