Un reciente informe detalla una campaña de phishing en la que los atacantes se hacen pasar por mensajes legítimos generados por Google, abusando de Google Cloud Application Integration para distribuir correos electrónicos maliciosos que parecen provenir de la infraestructura confiable de Google. Estos correos electrónicos imitan notificaciones empresariales rutinarias, como alertas de correo de voz o solicitudes de acceso a archivos y permisos, lo que los hace parecer normales y dignos de confianza para los destinatarios.
En este incidente, los atacantes enviaron 9,394 correos electrónicos de phishing dirigidos a aproximadamente 3,200 clientes en los últimos 14 días. Todos los mensajes fueron enviados desde la dirección de Google legítima [email protected], lo que aumentó significativamente su credibilidad y la probabilidad de llegar a la bandeja de entrada de los usuarios finales.
Método de ataque
Según las características observadas de los correos electrónicos y la infraestructura del remitente, la campaña parece aprovechar la tarea “Send Email” (Enviar correo electrónico) de Google Cloud Application Integration, una función destinada a la automatización legítima de flujos de trabajo y notificaciones del sistema. Esta funcionalidad permite a las integraciones configuradas enviar correos electrónicos a destinatarios arbitrarios, lo que explicaría cómo los atacantes pudieron distribuir mensajes directamente desde dominios propiedad de Google sin comprometer a Google en sí.
Este comportamiento sugiere un uso indebido de las capacidades legítimas de automatización en la nube para suplantar notificaciones auténticas de Google, eludiendo los controles tradicionales de detección basados en la reputación del remitente y el dominio.
Para aumentar aún más la confianza, los correos electrónicos siguieron de cerca el estilo y la estructura de las notificaciones de Google, incluyendo formatos e idiomas familiares. Los señuelos a menudo hacían referencia a mensajes de correo de voz o afirmaciones de que el destinatario había recibido acceso a un archivo o documento compartido, como el acceso a un archivo “Q4”, lo que incitaba a los destinatarios a hacer clic en enlaces incrustados y tomar medidas inmediatas.
Técnica de redirección de enlaces (Flujo visual):
Como se ilustra en el diagrama adjunto, el ataque se basa en un flujo de redirección de múltiples etapas diseñado para reducir la sospecha del usuario y retrasar la detección:
- Clic inicial
El usuario hace clic en un botón o enlace alojado en storage.cloud.google.com, un servicio confiable de Google Cloud. El uso de una URL alojada en la nube legítima en el primer paso ayuda a establecer la confianza y reduce la probabilidad de que el enlace sea bloqueado o cuestionado.
- Etapa de validación y filtrado
El enlace luego redirige al usuario a contenido servido desde googleusercontent.com, donde se presenta un CAPTCHA falso o una verificación basada en imágenes. Este paso está diseñado para bloquear escáneres automatizados y herramientas de seguridad, al tiempo que permite que los usuarios reales continúen.
- Destino final: recolección de credenciales
Después de pasar la etapa de validación, el usuario es redirigido a una página de inicio de sesión falsa de Microsoft alojada en un dominio que no pertenece a Microsoft. Cualquier credencial ingresada en esta etapa es capturada por el atacante, completando la cadena de phishing.
Este enfoque de redirección en capas combina infraestructura en la nube confiable, verificaciones de interacción del usuario y suplantación de identidad de marca para maximizar el éxito y minimizar la detección temprana.
Ejemplos de correos electrónicos de phishing reales que detectamos:
¿Quiénes se vieron afectados (últimos 14 días)?
El análisis muestra que la campaña se dirigió principalmente a organizaciones de los sectores de manufactura/industrial (19.6%), tecnología/SaaS (18.9%) y finanzas/banca/seguros (14.8%), seguido de servicios profesionales/consultoría (10.7%) y venta al por menor/consumo (9.1%). Se observaron porciones más pequeñas de la actividad en los sectores de medios/publicidad (7.4%), educación/investigación (6.2%), atención médica/ciencias de la vida (5.1%), energía/servicios públicos (3.2%), gobierno/sector público (2.5%), viajes/hospitalidad (1.9%) y transporte/logística (0.9%), con un otro/desconocido (1.7%).
Estos sectores suelen depender de notificaciones automatizadas, documentos compartidos y flujos de trabajo basados en permisos, lo que hace que las alertas de marca Google sean especialmente convincentes.
Las organizaciones afectadas se encontraban principalmente en los Estados Unidos (48.6%), seguidas de la región de Asia-Pacífico (20.7%) y Europa (19.8%). Se observó un impacto adicional en Canadá (4.1%), América Latina (3.0%), el Medio Oriente (2.2%) y África (0.9%), con un 0.7% de los casos que permanecen desconocidos o sin clasificar.
Dentro de América Latina, la actividad se concentró en Brasil (41%) y México (26%), seguido de Argentina (13%), Colombia (12%) y Chile (5%), con participaciones más pequeñas en otros países.
Esta campaña destaca cómo los atacantes pueden abusar de las características legítimas de automatización y flujos de trabajo en la nube para distribuir phishing a gran escala sin el spoofing tradicional. Refuerza la necesidad de una concienciación continua, especialmente cuando los correos electrónicos incluyen enlaces clickeables, incluso cuando el remitente, el dominio y la infraestructura parecen completamente legítimos.
Google proporcionó la siguiente declaración:
“Hemos bloqueado varias campañas de phishing que involucran el uso indebido de una función de notificación de correo electrónico dentro de Google Cloud Application Integration. Es importante destacar que esta actividad se debió al abuso de una herramienta de automatización de flujos de trabajo, no a un compromiso de la infraestructura de Google. Si bien hemos implementado protecciones para defender a los usuarios contra este ataque específico, alentamos a la precaución continua, ya que los actores maliciosos intentan con frecuencia suplantar marcas confiables. Estamos tomando medidas adicionales para evitar un mayor uso indebido.”
