Los cibermalos están usando Google Looker Studio para realizar ataques de phishing

Los actores de amenazas se sirven de esta herramienta pra crear páginas criptográficas falsas que mandan a las víctimas por email.

Alberto Payo

Periodista

Guardar

Imagen que recrea el envío de emails.
Imagen que recrea el envío de emails.

La compañía de ciberseguridad Check Point ha alertado sobre una nueva amenaza que los ciberdelincuentes impulsan sirviéndose del programa Google Looker Studio (antes Google Data Studio).

Esta herramienta de la firma de Mountain View permite crear informes mediante datos así como dashboards personalizables que se pueden leer y compartir fácilmente. 

El modus operandi de los cibermalos es utilizar Google Looker Studio para crear páginas criptográficas falsas que se envían a las víctimas en emails mandados desde esta herramienta legítima. 

Los mensajes que se envían incluyen un enlace a un supuesto informe (falso, obviamente) que proporcionaría a la víctima información sobre estrategias de inversión que le proporcionarían retornos significativos, según se hace eco Security Week. 

El objetivo es conseguir que los destinatarios pinchen en el link. Este redirige a una página legítima de Google Looker que alberga una presentación de diapositivas  que proporcionaría instrucciones sobre cómo el destinatario podría recibir más criptomonedas. 

Posteriormente, es donde se produce el engaño. La víctima es dirigida a una supuesta página de inicio de sesión para que introduzca sus datos con la excusa de que si no inicia sesión en su cuenta de inmediato puede perder el acceso a ella. Esta página es una mera herramienta para que los actores de amenazas extraigan las credenciales. 

La campaña llevaría semanas en marcha. Google fue informada de la misma el pasado 22 de agosto. 

Aprovechándose de la autoridad de Google

Lo más preocupante, según subraya Check Point, es que el ataque eludiría las comprobaciones de autenticación de correo electrónico que evitan la suplantación de identidad, ya que la dirección IP del remitente se muestra como autorizada al pertenecer a un subdominio de google.com.

“Ésta es una forma extensa de decir que los hackers están aprovechando la autoridad de Google. Un servicio de seguridad de correo electrónico analizará todos estos factores y tendrá mucha confianza en que no se trata de un email de phishing y que proviene de Google. ¡Y lo hace! Debido a que el ataque está anidado tan profundamente, pasará todas las comprobaciones estándar con gran éxito”, explican desde la firma de seguridad.