Nuevo ataque de phishing expone credenciales de inicio de sesión a través de Google

Ataque de phishing Google Destacado

Con cada día, mes y año que pasa, está claro que los ciberataques no van a desaparecer. Cualquier negocio, persona o industria puede ser atacado en cualquier momento. El último es un fraude de phishing que atacó a importantes industrias, como la construcción, y expuso credenciales de inicio de sesión a través de la búsqueda de Google.

Fraude de phishing expuesto a través de Google

Check Point Research alertó al mundo a través de una publicación en su blog que las credenciales de inicio de sesión robadas de las principales industrias fueron publicadas en dominios de WordPress comprometidos. Luego se descubrió en el foro más público posible: la búsqueda en Google.

Todo comenzó con correos electrónicos que incluían los nombres o títulos de empleados en la línea de asunto de correos electrónicos fraudulentos. Los empleados eran de industrias que incluyen construcción, TI, atención médica, bienes raíces y manufactura. Estos correos electrónicos imitaban las notificaciones de Xerox/Xeros que se originaron en un servidor Linux y fueron alojados en Microsoft Azure. También se enviaron correos electrónicos no deseados a través de cuentas de correo electrónico que anteriormente habían sido comprometidas, dando legitimidad a los mensajes.

Fraude de phishing búsqueda en Google

Se adjuntaron archivos HTML que contenían código JavaScript incrustado a los correos electrónicos. Estos tenían un único objetivo: realizar verificaciones de antecedentes encubiertas de contraseñas. Cuando se detectó la introducción de credenciales de inicio de sesión, se recogieron, dirigiendo a los usuarios a las páginas de inicio de sesión.

“Si bien esta cadena de infección puede sonar simple, logró eludir con éxito el filtrado de Protección Avanzada contra Amenazas (ATP) de Microsoft Office 365 y robó las credenciales de más de mil empleados corporativos”, según Check Point.

Los sitios web secuestrados incluidos en este ciberataque estaban construidos en el CMS de WordPress. Check Point explicó que estos dominios se utilizaron como “servidores de zona de entrega” para procesar las credenciales de inicio de sesión robadas.

Después de que las credenciales de inicio de sesión se enviaron a los servidores de zona de entrega, se guardaron en archivos que luego fueron indexados por Google, haciéndolos públicos. Estuvieron disponibles para cualquiera a través de una búsqueda en Google. Pero los servidores solo se utilizaron durante unos dos meses, vinculados a dominios .XYZ.

Fraude de phishing inicio de sesión en Google

“Los atacantes suelen preferir utilizar servidores comprometidos en lugar de su propia infraestructura debido a la buena reputación de los sitios web existentes”, explicó Check Point. “Cuanto más reconocida sea una reputación, mayores serán las posibilidades de que el correo electrónico no sea bloqueado por los proveedores de seguridad.”

Una advertencia para el futuro

La evidencia que se descubrió muestra que este fraude de phishing particular puede haber estado presente durante algún tiempo. Un correo electrónico del pasado agosto se comparó con el fraude recientemente descubierto, y tenían la misma codificación en JavaScript.

Todo esto demuestra que no podemos bajar la guardia. Las grandes industrias y cualquier individuo o negocio pueden verse afectados, y puede involucrar a gigantes de la tecnología como Google y WordPress. Nada es seguro cuando se trata de Internet. Siempre esté alerta y cuide su información.