Los atacantes encuentran una nueva forma de explotar Google Docs para …



Tactic continúa la tendencia reciente de los atacantes de utilizar servicios en la nube confiables para enviar y alojar contenido malicioso.

Los investigadores detectaron lo que describen como un nuevo método que los atacantes parecen estar utilizando para atraer a las víctimas a sitios website de phishing maliciosos a través de Google Docs.

La cadena de ataque comienza cuando el actor de la amenaza envía a las víctimas potenciales un correo electrónico, sobre un tema de posible interés o relevancia para la víctima, con un enlace a un documento en Google Docs. Los usuarios que siguen el enlace son dirigidos a una página de Google Docs con lo que parece ser un documento descargable, según los investigadores de Avanan.

La página parece una página típica de Google Docs para compartir documentos fuera de la organización. Sin embargo, en realidad es una página world wide web personalizada que está diseñada para parecerse a una página de Google Docs, según los investigadores. Cuando un usuario hace clic en el enlace para descargar el documento, se le redirige a un sitio net de phishing malicioso que se ve exactamente como la página de inicio de sesión de Google Docs. A los usuarios que ingresan su nombre de usuario y contraseña les roban sus credenciales.

Gil Friedrich, CEO y cofundador de Avanan, dice que esta es la primera vez que su compañía observa a los atacantes abusando del uso de Google Docs de esta manera. «Esta es la primera vez, que sepamos, que vemos que Google Docs se utiliza para representar una página world wide web totalmente diseñada por un atacante», dice Friedrich.

El enfoque es muy diferente a cuando un atacante puede usar el sitio world-wide-web de una pequeña empresa para alojar contenido malicioso. En esos casos, una organización puede simplemente bloquear el acceso al sitio hasta que se resuelva el problema.

«No se puede bloquear a Google», dice Friedrich. «No hay forma de establecer una capa estática, e incluso si quisieras bloquear ese enlace específico para ese archivo específico, en diez segundos, los piratas informáticos se moverían a un nuevo archivo», porque no les cuesta nada hacerlo, señala. .

Según Avanan, el ataque es sencillo de ejecutar, y Google mismo hace la mayor parte del trabajo por los adversarios. Para lograrlo, todo lo que tiene que hacer un atacante es desarrollar una página website que se parezca a una página para compartir de Google Docs y cargar el archivo en Google Travel. Google escanea el archivo y lo muestra automáticamente como una página web.

A continuación, el atacante abre la imagen renderizada en Google Docs, la publica en la Net y obtiene un enlace con etiquetas de inserción que están destinadas a representar contenido personalizado en foros website. Los atacantes pueden insertar el enlace en un correo electrónico y enviárselo a las víctimas.

«No hay nada que Google realmente pueda hacer», dice Friedrich. «Crearon la función de incrustar el sitio world wide web para que la gente pueda compartir e incrustar contenido enriquecido en HTML sin ser programadores», dice.

Una de las únicas formas de evitar esto sería desactivar la función por completo. O Google podría imponer limitaciones sobre lo que se puede y no se puede publicar a través de la función de inserción. Sin embargo, incluso si Google tomara tal medida, los piratas informáticos probablemente encontrarían una forma de eludir las restricciones, dice Friedrich.

Abuso de servicios en la nube

El hackeo de Google Docs es solo el ejemplo más reciente de atacantes que intentan utilizar servicios en la nube confiables como Google Docs, AWS y Microsoft Azure para alojar y enviar contenido malicioso y contenido malicioso. Un estudio reciente que Proofpoint realizado mostró que con las organizaciones que adoptan cada vez más herramientas y servicios de colaboración en la nube, los atacantes también han comenzado a abusar cada vez más de estos servicios. En 2020, por ejemplo, los atacantes apuntaron a miles de clientes de Proofpoint con unos 60 millones de mensajes maliciosos a través de Microsoft Place of work 365 y 90 millones de mensajes enviados o alojados en la nube de Google.

Los datos de Proofpoint muestran que estos ataques solo están aumentando en volumen. Solo en el primer trimestre de 2021, por ejemplo, Proofpoint dice que observó 7 millones y 45 millones de mensajes maliciosos de Microsoft Business office 365 y la infraestructura en la nube de Google, respectivamente.

«Los piratas informáticos no siempre necesitan acceso a herramientas sofisticadas que se venden en la Darkish World-wide-web pueden usar herramientas disponibles gratuitamente para lograr los mismos objetivos», dice Friedrich. Las organizaciones deberían esperar más ataques de este tipo, ya que el precio para llevarlos a cabo es bajo y está bajando, dice.

Lanzar ataques desde un sitio de confianza también es más seguro para el atacante. Con el vector de Google Docs, dado que todo está alojado en el extremo de Google, los atacantes ni siquiera tienen que registrar dominios que apunten a ellos, dice. «Las empresas deben prepararse invirtiendo en herramientas avanzadas de seguridad de correo electrónico y capacitación en phishing para sus empleados».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial