- KnowBe4 advierte de una nueva campaña de phishing que aprovecha la automatización del flujo de trabajo de Google AppSheets
- Los correos electrónicos suplantan a Facebook y recogen credenciales de inicio de sesión
- Los atacantes también pueden hacerse con tokens de sesión
Los ciberdelincuentes están abusando de un servicio legítimo de Google para eludir los mecanismos de protección del correo electrónico y enviar mensajes de phishing directamente a las bandejas de entrada de los usuarios.
Los investigadores de ciberseguridad KnowBe4, que fueron los primeros en detectar los ataques, han advertido de que los delincuentes están utilizando Google AppSheet, una plataforma de desarrollo de aplicaciones sin código para aplicaciones móviles y web, y a través de su automatización del flujo de trabajo han podido enviar correos electrónicos utilizando la dirección "noreply@appsheet.com".
Los correos electrónicos de phishing imitan a Facebook y están diseñados para engañar a los usuarios para que faciliten sus credenciales de inicio de sesión y códigos 2FA para la plataforma de redes sociales.
Códigos 2FA y testigos de sesión
Los correos electrónicos, que se enviaron en masa y a gran escala, procedían de una fuente legítima, lo que permitió eludir a Microsoft y los Secure Email Gateways (SEG), que se basan en la reputación del dominio y las comprobaciones de autenticación (SPF, DKIM, DMARC).
Además, como AppSheets puede generar identificadores únicos, cada correo electrónico era ligeramente diferente, lo que también ayudó a eludir los sistemas de detección tradicionales.
Los propios mensajes falsificaban Facebook. Los delincuentes intentaban engañar a las víctimas haciéndoles creer que habían infringido la propiedad intelectual de alguien y que sus cuentas se eliminarían en 24 horas.
A menos, por supuesto, que presentaran una apelación a través de un botón convenientemente colocado en el correo electrónico.
Al hacer clic en el botón, la víctima es conducida a una página de aterrizaje que suplanta a Facebook, donde puede proporcionar sus credenciales de inicio de sesión y códigos 2FA, que luego se transmiten a los atacantes.
La página está alojada en Vercel que, según KnowBe4, es una «reputada plataforma conocida por alojar aplicaciones web modernas». Esto refuerza aún más la credibilidad de toda la campaña.
El ataque tiene algunas contingencias adicionales. El primer intento de iniciar sesión devuelve un resultado de «contraseña incorrecta», no porque la víctima haya tecleado una credencial errónea, sino para confirmar el envío.
Además, los códigos 2FA que se proporcionan se envían inmediatamente a Facebook y, a cambio, los delincuentes obtienen un testigo de sesión que les garantiza la persistencia incluso después de un cambio de contraseña.
También te gustará...
- Harry Potter - Serie: estreno y todo lo que sabemos hasta ahora de la próxima adaptación de HBO Max
- La segunda temporada de The Last of Us no será la última entrega de la exitosa serie de Max TV - HBO ha anunciado oficialmente su tercera temporada
- Stranger Things temporada 5: fecha de estreno esperada, tramas, actores, y todo lo que necesitas saber sobre el final de esta popular serie de Netfilx
