Investigadores detectaron miles de correos maliciosos enviados desde direcciones reales de Google Cloud, en una operación global que combinó redirecciones encadenadas, servicios confiables y páginas falsas de Microsoft para evadir controles de seguridad.
Una sofisticada campaña de phishing puso en evidencia cómo herramientas legítimas de automatización en la nube pueden ser explotadas para fines maliciosos. Investigadores de ciberseguridad de Check Point, revelaron que actores maliciosos abusaron del servicio Google Cloud Application Integration para enviar correos electrónicos que aparentaban ser notificaciones auténticas de Google, logrando así evadir filtros tradicionales y llegar directamente a las bandejas de entrada de miles de usuarios en todo el mundo.
De acuerdo con el estudio, los atacantes utilizaron la función legítima de “Enviar correo electrónico” de Google Cloud para distribuir mensajes desde la dirección real noreply-application-integration@google[.]com. Este detalle resultó clave, ya que permitió sortear mecanismos de autenticación como DMARC y SPF, aumentando significativamente la credibilidad de los correos. “Los mensajes imitaban notificaciones empresariales rutinarias, como alertas de correo de voz o solicitudes de acceso a archivos compartidos, lo que los hacía parecer normales y confiables”, señalaron los investigadores.
Durante un período de apenas 14 días, se detectó el envío de 9.394 correos de phishing dirigidos a unos 3.200 clientes, con víctimas en Estados Unidos, Asia-Pacífico, Europa, Canadá y América Latina. En la región latinoamericana, Brasil y México concentraron la mayor parte de los casos observados. Los sectores más afectados fueron el manufacturero, tecnológico, financiero, de servicios profesionales y el comercio minorista, aunque también se identificaron impactos en entidades de la educación, salud, energía, gobierno y transporte.
La campaña destacó por su cadena de ataque en múltiples etapas, diseñada para reducir la sospecha del usuario y bloquear herramientas automáticas de análisis. El primer paso comenzaba con un enlace alojado en storage.cloud.google.com, un dominio legítimo de Google Cloud. Luego, el usuario era redirigido a googleusercontent.com, donde se le presentaba un CAPTCHA falso que actuaba como filtro contra escáneres de seguridad. Finalmente, tras superar esa verificación, la víctima llegaba a una página falsa de inicio de sesión de Microsoft 365, alojada en un dominio que no pertenecía a Microsoft, donde se robaban las credenciales ingresadas.
El objetivo principal de la operación era capturar credenciales de Microsoft 365, ampliamente utilizadas en entornos corporativos. Investigaciones complementarias de las empresas Xorlab y Ravenmail indicaron que la infraestructura también se empleó para phishing de consentimiento OAuth, engañando a usuarios para que otorgaran permisos a aplicaciones maliciosas en Azure AD, lo que permitiría acceso persistente a recursos en la nube mediante tokens de acceso y actualización.
Los investigadores de Check Point advirtieron que “esta campaña pone de manifiesto cómo los atacantes pueden abusar de funciones legítimas de automatización y flujos de trabajo en la nube para distribuir phishing a gran escala, sin recurrir a la suplantación tradicional”. Cada salto del ataque utilizó infraestructura confiable -Google, Microsoft e incluso Amazon Web Services-, dificultando la detección o el bloqueo en un único punto.
Tras la divulgación de los hallazgos, Google confirmó haber bloqueado los intentos de phishing que abusaban de la función de notificación por correo electrónico y recalcó que no se trató de una intrusión en su infraestructura. “Hemos bloqueado varias campañas de phishing que implicaban el uso indebido de una función de automatización de flujos de trabajo. Esta actividad no fue resultado de una vulneración de nuestros sistemas”, señaló la compañía, agregando que se están implementando medidas adicionales para prevenir nuevos abusos.