Actores maliciosos utilizan Google Docs para compartir campañas de phishing

Explotan el servicio de documentos de Google para enviar enlaces maliciosos que buscan robar credenciales de acceso.

Los actores de amenazas están explotando Google Docs al alojar sus ataques dentro del servicio de documentos basado en la web en una nueva campaña de phishing que ofrece enlaces maliciosos destinados a robar las credenciales de las víctimas.

Al alojar ataques de esta manera, los atacantes pueden eludir los escáneres de enlaces y evadir la detección de las protecciones de seguridad comunes que tienen como objetivo verificar que los enlaces enviados por correo electrónico sean legítimos.

Vector de ataque

El ataque comienza con un correo electrónico que incluye un mensaje que podría ser relevante para usuarios que comúnmente usan Google Docs dentro de su entorno corporativo, como nóminas de empleados, archivos para imprimir, entre otros.

Si un usuario hace clic en el enlace, la página le resultará familiar a cualquiera que utilice Google Docs para compartir documentos fuera de la organización.

Sin embargo, corresponde a una página HTML personalizada creada para parecerse a la conocida página para compartir de Google Docs.

Una vez redirigido, se pide a las víctimas potenciales que «hagan clic aquí» para descargar el documento. Si un usuario hace clic, la página redirige al sitio web de phishing malicioso real, que roba las credenciales de la víctima utilizando otra página web creada para parecerse al portal de inicio de sesión de Google, pero que en realidad está alojada desde una URL que claramente no está afiliada al gigante tecnológico.

Primero, un atacante escribiría una página web que se asemejara a una página para compartir de Google Docs y luego subiría ese archivo HTML a Google Drive. Una vez que se escanea el archivo, Google convierte el HTML en una página de vista previa que se parece mucho a una página típica de Google Docs.

Luego, un atacante puede hacer clic con el botón derecho en el archivo cargado y abrirlo en Google Docs, que es donde tiene lugar el aspecto simple pero integral del ataque.

«Esta es la parte inteligente porque si simplemente haces clic en ‘Obtener enlace’, solo verás el código fuente del archivo, no la versión renderizada», escribió. Sin embargo, al manipular Google Docs, los atacantes pueden representar con éxito la página maliciosa en lugar de entregar una página con solo código fuente a una víctima potencial, lo que no sería efectivo.

Los investigadores deben dar un paso más para que el archivo se procese de una manera que la víctima lo reconozca seleccionando «Publicar en la Web» en el menú desplegable «Archivo» de Google Docs.

Luego, al presionar «Insertar» y «Publicar», Google proporcionará etiquetas para insertar que están diseñadas para usarse en sus propios foros para mostrar contenido personalizado, pero que el atacante puede usar, menos las etiquetas iframe, para guardar el enlace malicioso destinado a enviarse a través de la campaña de phishing.

«Este enlace ahora mostrará el archivo HTML completo como lo pretendía el atacante y también contendrá el hipervínculo de redireccionamiento al sitio web malicioso real», explicaron desde Avanan Security.