Una ola de ataques de phishing identificada en diciembre y dirigida principalmente a usuarios de Outlook es difícil de detectar tanto para los escáneres de correo electrónico como para las víctimas, según los investigadores.
Los atacantes están utilizando la función "Comentarios" de Google Docs para enviar enlaces maliciosos en una campaña de phishing dirigida principalmente a los usuarios de Outlook, según han descubierto los investigadores.
Los investigadores de la empresa de seguridad y colaboración de correo electrónico Avanan, una compañía de CheckPoint, observaron por primera vez "una nueva y masiva ola de hackers que aprovechaban la función de comentarios de Google Docs" en diciembre, escribió el investigador/analista de ciberseguridad de Avanan, Jeremy Fuchs, en un informe publicado el jueves.
Avanan identificó por primera vez que la función de comentarios de Google Docs, Sheets y Slides podía ser explotada para enviar correos electrónicos de spam en octubre, pero hasta ahora Google no ha respondido al problema, escribió Fuchs.
"Esta vulnerabilidad conocida no ha sido completamente cerrada o mitigada por Google desde entonces", escribió en el informe.
Hasta ahora, los delincuentes han atacado más de 500 bandejas de entrada de 30 usuarios de más de 100 cuentas de Gmail diferentes aprovechando la función de la aplicación de procesamiento de textos en la nube de Google, según el informe.
Los atacantes se dirigen a los usuarios de Google Docs añadiendo un comentario a un documento que menciona al usuario objetivo con una "@", lo que envía automáticamente un correo electrónico a la bandeja de entrada de esa persona. Ese correo electrónico, que proviene de Google, incluye el texto y los enlaces maliciosos, dijo Fuchs.
En el informe se incluye un ejemplo que utiliza el mismo método para explotar Google Slides, la aplicación de presentaciones de la suite.
Evadir las detecciones
Hay una serie de razones por las que es difícil que las víctimas reconozcan que el correo electrónico que se les envía después de haber sido etiquetado en Comentarios es malicioso, señaló Fuchs. Por un lado, no se muestra la dirección de correo electrónico del remitente -sólo el nombre del atacante-, lo que permite a los delincuentes hacerse pasar por entidades legítimas para atacar a las víctimas, observó Fuchs.
También "dificulta el juicio de los filtros antispam, y aún más el reconocimiento por parte del usuario final", escribió.
"Por ejemplo, un hacker puede crear una cuenta gratuita de Gmail, como <This email address is being protected from spambots. You need JavaScript enabled to view it.>", explicó Fuchs. "Luego pueden crear un Google Doc y enviarlo a su objetivo".
La intención maliciosa de la mención de los comentarios es difícil de detectar porque el usuario final no tendrá ni idea de si el comentario procede de <This email address is being protected from spambots. You need JavaScript enabled to view it.> o de <This email address is being protected from spambots. You need JavaScript enabled to view it.>, señaló.
"Simplemente dirá 'Bad Actor' te mencionó en un comentario en el siguiente documento", escribió Fuchs. "Si Bad Actor es un colega, aparecerá como de confianza".
El correo electrónico también contiene el comentario completo, junto con enlaces y texto, lo que significa que la víctima nunca tiene que ir al documento, ya que la carga útil está en el propio correo electrónico.
"Por último, el atacante ni siquiera tiene que compartir el documento: basta con mencionar a la persona en el comentario", escribió Fuchs.
Las protecciones típicas no marcarán los correos electrónicos porque la notificación viene directamente de Google, que "está en la mayoría de las 'Listas de Permisos' y es de confianza para los usuarios", escribió Fuchs. De hecho, dijo que Advanced Threat Protection no detectó el vector de ataque en su análisis.
Google Docs como superficie de ataque
La campaña parece significar un aumento de los ataques para explotar la función Comentarios de las aplicaciones de colaboración de Google con fines maliciosos, ataques que probablemente continuarán si no se controlan, dijeron los investigadores.
El pasado mes de junio, los investigadores de Avanan identificaron a actores de amenazas que realizaban ataques de phishing desde Google Docs, enviando enlaces maliciosos con el objetivo de robar las credenciales de las víctimas. En ese momento, lo identificaron como un nuevo exploit de la aplicación.
Luego, en octubre, como se mencionó anteriormente, los investigadores identificaron a atacantes que explotaban la función de comentarios por primera vez, seguido por la oleada de ataques de diciembre, que fueron reportados a Google el 3 de enero "utilizando el phishing resultante a través de correo electrónico con las herramientas integradas de Google", escribió Fuchs.
Avanan recomienda a los usuarios que contrasten la dirección de correo electrónico del comentario para asegurarse de que es legítima antes de hacer clic en un comentario de Google Docs. También recomiendan una "higiene cibernética" estándar a la hora de revisar los comentarios, incluyendo el escrutinio de los enlaces y la inspección de la gramática, según el informe.
"Si no está seguro, póngase en contacto con el remitente legítimo y confirme que quería enviarlo", aconsejó Fuchs.
Los profesionales de la seguridad pueden protegerse contra los ataques desplegando una protección de seguridad que proteja toda la suite, incluidas las aplicaciones de colaboración y de intercambio de archivos, añadió.
Fuente: https://threatpost.com/attackers-exploit-flaw-google-docs-comments/177412/