Función de comentario de Google Docs utilizada para spear-phishing

Una nueva tendencia en los ataques de phishing surgió en diciembre de 2021, y los actores de amenazas abusaron de la función de comentarios de Google Docs para enviar correos electrónicos que parecen ser confiables.

Muchos empleados que trabajan o colaboran de forma remota utilizan Google Docs, por lo que la mayoría de los destinatarios de estos correos electrónicos están familiarizados con estas notificaciones.

Dado que el propio Google está "engañado" para que envíe estos correos electrónicos, las posibilidades de que las herramientas de seguridad del correo electrónico los etiqueten como potencialmente riesgosos son prácticamente nulas.

En realidad, el truco se ha explotado de forma limitada desde octubre del año pasado, y aunque Google ha intentado mitigar el problema, todavía no ha cerrado por completo la vulnerabilidad.

Esta campaña reciente está creciendo enormemente y es monitoreada activamente por los analistas de amenazas de Avanan, quienes compartieron su informe con Bleeping Computer antes de su publicación.

Índice de contenidos
  1. Como funciona el ataque
  2. Ataques en especie y medidas de protección

Como funciona el ataque

Los piratas informáticos usan su cuenta de Google para crear un documento de Google y luego comentarlo para mencionar el objetivo con una @.

Luego, Google envía un correo electrónico de notificación a la bandeja de entrada del destinatario, informándole que otro usuario ha comentado un documento y lo ha mencionado.

Correo electrónico de riesgo generado y enviado por Google
Correo electrónico de riesgo generado y enviado por Google
Fuente: Avanan

El comentario en el correo electrónico puede contener enlaces maliciosos que conducen a sitios web de suplantación de identidad o sitios web de malware, por lo que es evidente que no existen mecanismos de control / filtrado.

En segundo lugar, el correo electrónico del autor de la amenaza no se muestra en la notificación y el destinatario solo ve un nombre. Esto hace que la actuación sea muy fácil y al mismo tiempo aumenta las posibilidades de éxito de los actores.

Aprovechando la misma técnica en Presentaciones de Google
Aprovechando la misma técnica en Google diapositivas
Fuente: Avanan

La misma técnica también funciona en los comentarios de Google Slide, y Avnan informa que los actores la explotan en varios elementos del servicio Google Workspace.

Para empeorar las cosas, los atacantes no tienen que compartir el documento con sus objetivos, ya que mencionarlos es suficiente para enviar notificaciones maliciosas.

Ataques en especie y medidas de protección

Según Avnan, los actores de amenazas detrás de estos ataques parecen favorecer a los usuarios de Outlook, pero el grupo demográfico objetivo no se limita a ellos.

Esta campaña de spear-phishing en curso utiliza más de 100 cuentas de Google y ya ha llegado a 500 buzones de correo en 30 organizaciones.

La única forma de mitigar el riesgo de esta y otras campañas similares es:

  • Confirme que el correo electrónico del remitente coincide con el de su colega (o persona declarada)
  • Evite hacer clic en los enlaces que llegan por correo electrónico y están incrustados en los comentarios.
  • Implementar medidas de seguridad adicionales que hagan cumplir reglas más estrictas para compartir archivos en Google Workspace
  • Utilice una solución de seguridad de Internet de un proveedor de confianza que ofrezca protección de URL de phishing

Descubre más contenido

Subir Change privacy settings