Todo empezó con un susurro: unos cuantos correos electrónicos sin pretensiones deslizándose en las bandejas de entrada un martes por la mañana cualquiera. Sin campanas, sin silbatos, nada que hiciera levantar una ceja a primera vista. Pero tras los familiares logotipos de los servicios en la nube y las notificaciones meticulosamente elaboradas se escondía una nueva clase de campaña de phishing, producto de la innovación y potenciada por la IA. No se trataba de un phishing común y corriente; era una emboscada nativa de la nube, una amenaza directa a la capa humana de la seguridad empresarial.
Aryaka Threat Research Labs ha descubierto una nueva oleada de campañas de phishing basadas en la nube que aprovechan Google Cloud Storage (GCS) para alojar redireccionadores fraudulentos y sitios de phishing. Estos ataques combinan la ingeniería social con el uso indebido de infraestructuras legítimas en la nube, aprovechando la confianza inherente que los usuarios depositan en los dominios de Google para ejecutar estafas con motivaciones financieras.
La campaña pone de relieve cómo los actores de las amenazas están eludiendo las defensas de las empresas aprovechando las lagunas en la autenticación del correo electrónico. Mediante el envío de mensajes que superan las comprobaciones SPF pero carecen de firmas DKIM y se ven reforzados por políticas DMARC débiles, los atacantes pueden enviar correos electrónicos que parecen legítimos tanto para los destinatarios como para los sistemas de seguridad del correo electrónico, lo que aumenta la probabilidad de un compromiso exitoso.
Comprendamos el modelo de ataque en su conjunto como se expone a continuación:
- Suplantación de correos electrónicos: Los atacantes envían correos electrónicos de suplantación de identidad haciéndose pasar por servicios de confianza como Gmail o Google Drive, utilizando mensajes profesionales y líneas de asunto convincentes (por ejemplo, «Aviso de cancelación de suscripción»).
- Redirecciones alojadas en GCS: Los correos electrónicos enlazan con archivos HTML alojados en Google Cloud Storage (GCS) que ejecutan redireccionamientos JavaScript en el navegador de la víctima, eludiendo los escáneres estáticos y los filtros de URL.
- Evasión CAPTCHA: La cadena de redireccionamiento incluye desafíos CAPTCHA para evitar el análisis automatizado y parecer legítima a los usuarios.
- Portales de premios fraudulentos: Las víctimas son dirigidas a falsos sitios web de premios o bonificaciones que les incitan a registrarse o depositar dinero.
- Recopilación de datos del usuario y del navegador: Los atacantes recopilan metadatos detallados del usuario y del navegador y los envían a plataformas de análisis como Mixpanel, Google Analytics y Amplitude para rastrear el comportamiento y optimizar las campañas.
- Explotación de la infraestructura de nube de confianza: Los actores de las amenazas aprovechan las plataformas en la nube legítimas para eludir la detección, lo que hace que las estafas sean más difíciles de detectar y más eficaces a escala.
Este enfoque pone de relieve una evolución creciente en la ciberdelincuencia, en la que las plataformas legítimas en la nube pasan a formar parte de la superficie de ataque. En lugar de alojar contenidos maliciosos en dominios sospechosos, los actores de las amenazas explotan la infraestructura de confianza de Google para eludir el escrutinio, lo que hace que estas estafas sean más difíciles de detectar y más eficaces a escala.
Aryaka Threat Research Labs ha revelado responsablemente este abuso a Google Cloud para apoyar la remediación y evitar nuevos usos indebidos de su infraestructura. También nos hemos coordinado con el equipo de investigación de Amenazas Emergentes de Proofpoint para asegurarnos de que los conjuntos de reglas de detección se actualizaban para cubrir esta actividad.
Este esfuerzo de colaboración, que incluyó una mención de Emerging Threats, subraya la fortaleza de la comunidad de ciberseguridad a la hora de hacer frente a las cambiantes amenazas basadas en la nube. Es un testimonio del poder de la defensa colectiva y de la importancia de compartir inteligencia para un bien mayor.
Esta investigación refuerza una verdad crítica: la confianza, cuando se abusa de ella, se convierte en uno de los facilitadores más potentes del engaño en la era de la nube.
Lea el informe completo aquí >>