Los phishers han aprovechado de nuevo la confianza de los usuarios en Google con una campaña recién descubierta diseñada para robar credenciales que otorgan acceso a una multitud de servicios en línea de Google.
Nuevas páginas de phishing alojadas en Google Drive fueron descubiertos por el investigador Aditya K. Sood de Elastica Cloud Threat Labs. Esta campaña es muy similar a una descubierta en marzo del 2014, que al igual que éste, presenta a la víctima un falso Google, accede a la página alojada en la plataforma de Google y servido a través de HTTPS. Las líneas de asunto de correo electrónico de phishing son los mismos, "Documento", y las credenciales robadas se alojan en servidores de terceros.
La campaña descubierta por Elastica, sin embargo, añade un toque de ofuscación de código adicional para ocultar las páginas de phishing, lo que indica que si se trata del mismo grupo detrás de ambas campañas, su trabajo está evolucionando y tomando medidas adicionales para eludir la detección.
"El uso de Google Drive para alojar páginas web de phishing ofrece a un atacante la capacidad de explotar la confianza que los usuarios tienen en Google", dijo Sood, quien agregó que Google ha eliminado las páginas de phishing.
Sood señala que los atacantes simplemente se están aprovechando de cómo Google Drive almacena y presenta el contenido, ahorrándose el tiempo y el esfuerzo que se necesita para elaborar correctamente una campaña de phishing basada en correo electrónico. Señala también que el hecho de que las páginas están codificadas a través de HTTPS hace menos sospechosa a empleados capacitados para buscar ese tipo de cosas.
El acceso a las credenciales de Google, en este caso, es una gran victoria para los atacantes.
"En un esfuerzo por maximizar los beneficios, los atacantes dirigen los usuarios de Google en concreto con el fin de obtener acceso a la multitud de servicios asociados a esas cuentas, ya que Google utiliza procedimientos de sesión única (SSO)", dijo Sood.
Una vez que el usuario recibe el correo electrónico de phishing, que se envía desde una dirección de Gmail que probablemente ha sido comprometida, se les pide que siga un enlace de Google Drive. Se presenta al usuario una página de phishing que se parece a una página de inicio de sesión de Google; si el usuario introduce sus credenciales, él formulario lo envía a través de texto plano a un servidor web comprometido. El navegador de la víctima entonces es redirigido a un documento PDF alojado en otro lugar, dando mayor credibilidad a la estafa.
Sood dice que los correos electrónicos están evitando las capacidades de detección integradas de Google, probablemente porque están viniendo de una cuenta de Gmail y los puntos de enlace a un dominio googledrive.com legítimo.
Algunos elementos de la página de phishing, sin embargo, deberían despertar sospechas, dijo Sood.
"Al abrir 'drive.google.com,' Google redirige el navegador a 'accounts.google.com', que lleva el mensaje, 'Una Cuenta. Todo Google, 'mientras que esta página web destaca el mensaje "Google Drive. Un almacenamiento ", que no es legítimo", dijo Sood. "Sin embargo, los usuarios a quien se les envia esta campaña muy dificilmente notan esto."
Los atacantes también añaden una serie de capas de JavaScript ofuscado a la página de phishing, escondiéndose entre otras cosas, la URL de destino donde se envían las credenciales de la víctima: hxxp: [.] // Alarabia mi / images / Fresh / performact php [.] .
Sood dijo que Elastica ha informado de los detalles de esta campaña a Google.
Nuevas páginas de phishing alojadas en Google Drive fueron descubiertos por el investigador Aditya K. Sood de Elastica Cloud Threat Labs. Esta campaña es muy similar a una descubierta en marzo del 2014, que al igual que éste, presenta a la víctima un falso Google, accede a la página alojada en la plataforma de Google y servido a través de HTTPS. Las líneas de asunto de correo electrónico de phishing son los mismos, "Documento", y las credenciales robadas se alojan en servidores de terceros.
La campaña descubierta por Elastica, sin embargo, añade un toque de ofuscación de código adicional para ocultar las páginas de phishing, lo que indica que si se trata del mismo grupo detrás de ambas campañas, su trabajo está evolucionando y tomando medidas adicionales para eludir la detección.
"El uso de Google Drive para alojar páginas web de phishing ofrece a un atacante la capacidad de explotar la confianza que los usuarios tienen en Google", dijo Sood, quien agregó que Google ha eliminado las páginas de phishing.
Sood señala que los atacantes simplemente se están aprovechando de cómo Google Drive almacena y presenta el contenido, ahorrándose el tiempo y el esfuerzo que se necesita para elaborar correctamente una campaña de phishing basada en correo electrónico. Señala también que el hecho de que las páginas están codificadas a través de HTTPS hace menos sospechosa a empleados capacitados para buscar ese tipo de cosas.
El acceso a las credenciales de Google, en este caso, es una gran victoria para los atacantes.
"En un esfuerzo por maximizar los beneficios, los atacantes dirigen los usuarios de Google en concreto con el fin de obtener acceso a la multitud de servicios asociados a esas cuentas, ya que Google utiliza procedimientos de sesión única (SSO)", dijo Sood.
Una vez que el usuario recibe el correo electrónico de phishing, que se envía desde una dirección de Gmail que probablemente ha sido comprometida, se les pide que siga un enlace de Google Drive. Se presenta al usuario una página de phishing que se parece a una página de inicio de sesión de Google; si el usuario introduce sus credenciales, él formulario lo envía a través de texto plano a un servidor web comprometido. El navegador de la víctima entonces es redirigido a un documento PDF alojado en otro lugar, dando mayor credibilidad a la estafa.
Sood dice que los correos electrónicos están evitando las capacidades de detección integradas de Google, probablemente porque están viniendo de una cuenta de Gmail y los puntos de enlace a un dominio googledrive.com legítimo.
Algunos elementos de la página de phishing, sin embargo, deberían despertar sospechas, dijo Sood.
"Al abrir 'drive.google.com,' Google redirige el navegador a 'accounts.google.com', que lleva el mensaje, 'Una Cuenta. Todo Google, 'mientras que esta página web destaca el mensaje "Google Drive. Un almacenamiento ", que no es legítimo", dijo Sood. "Sin embargo, los usuarios a quien se les envia esta campaña muy dificilmente notan esto."
Los atacantes también añaden una serie de capas de JavaScript ofuscado a la página de phishing, escondiéndose entre otras cosas, la URL de destino donde se envían las credenciales de la víctima: hxxp: [.] // Alarabia mi / images / Fresh / performact php [.] .
Sood dijo que Elastica ha informado de los detalles de esta campaña a Google.
