Investigadores de seguridad han alertado sobre una reciente campaña de phishing en la que los cibermalos están usando herramientas de confianza para 'saltarse' los controles de seguridad.
Los piratas informáticos se están sirviendo de Google Docs para entregar enlaces de phishing y Weebly para alojar páginas de inicio de sesión falsas.
Gracias a esta combinación estratégica de plataformas legítimas los atacantes han podido eludir los filtros de correo electrónico estándar y las defensas de los endpoints, mejorando la credibilidad de sus esquemas maliciosos.
Los hackers han incrustado enlaces maliciosos en las presentaciones de Google Docs, redirigiendo a las víctimas a sitios de phishing alojados en Weebly.
"Al utilizar el dominio de confianza de Google para la entrega inicial, los atacantes eludieron los filtros de correo electrónico estándar y las protecciones de endpoints, aprovechando las plataformas de buena reputación para evadir la detección y aumentar la confianza de los usuarios", han explicado desde EclecticIQ.
Las páginas de phishing incluidas en Weebly imitaban las pantallas de inicio de sesión de marcas destacadas, incluyendo AT&T e instituciones financieras en EE.UU. y Canadá.
Las webs, diseñadas cuidadosamente buscaban engañar a las víctimas para que introdujeran sus credenciales de inicio de sesión, códigos de autenticación multifactor y otra información confidencial.
"Los archivos alojados en Google Docs tienen menos probabilidades de ser marcados como maliciosos por las herramientas antiphishing en comparación con los métodos tradicionales de phishing". Del mismo modo, la apariencia legítima de los dominios alojados en Weebly redujo aún más el escrutinio", han señalado los investigadores.
Más 'potencia de fuego'
Con el fin de hacer la campaña más sofisticada los atacantes incorporaron herramientas de seguimiento legítimas, como Sentry.io y Datadog para monitorear las interacciones de los usuarios. Esto les permitió recopilar métricas como marcas de tiempo, direcciones IP y datos de geolocalización.
Los ciberdelincuentes también iniciaron ataques de intercambio de SIM para interceptar códigos de autenticación multifactor basados en SMS. Así lograron eludir las protecciones tradicionales de estos códigos y mantener un acceso prolongado a las cuentas comprometidas.