Los investigadores de ciberseguridad han detallado una campaña de phishing en la que los atacantes explotaron los servicios de integración de aplicaciones de Google Cloud para distribuir correos electrónicos que se hacían pasar por mensajes legítimos generados por Google.
Según Check Point, esta actividad aprovecha la confianza asociada con la infraestructura de Google Cloud para enviar mensajes desde una dirección de correo electrónico legítima («noreply-application-integration@google(.)com»), evitando los filtros de seguridad de correo electrónico tradicionales y aumentando la probabilidad de llegar a las bandejas de entrada de los usuarios.
«Este correo electrónico imita notificaciones corporativas de rutina, como alertas de correo de voz o solicitudes de acceso a archivos o permisos, y parece normal y confiable para el destinatario», dijo la firma de ciberseguridad.
Durante un período observado de 14 días en diciembre de 2025, se observó que los atacantes enviaron 9394 correos electrónicos de phishing dirigidos a aproximadamente 3200 clientes, con organizaciones afectadas ubicadas en los Estados Unidos, Asia Pacífico, Europa, Canadá y América Latina.
En el centro de esta campaña está la explotación de la tarea «enviar correo electrónico» de la integración de la aplicación, que permite a los usuarios enviar notificaciones por correo electrónico personalizadas desde la integración. Google dice en su documentación de soporte que sólo puedes agregar hasta 30 destinatarios a una tarea.
El hecho de que estos correos electrónicos puedan configurarse para enviarse a cualquier dirección de correo electrónico indica que los atacantes pueden aprovechar la automatización legítima para enviar correos electrónicos desde dominios propiedad de Google, evitando efectivamente las comprobaciones DMARC y SPF.
«Para mejorar aún más la autenticidad, el correo electrónico siguió de cerca el estilo y la estructura de notificación de Google, incluido el formato y el lenguaje familiares», dijo Check Point. «Estos señuelos generalmente se refieren a un mensaje de correo de voz o afirman que el destinatario tiene permiso para acceder a archivos o documentos compartidos (por ejemplo, acceder al archivo ‘Q4’), lo que solicita al destinatario que tome medidas inmediatas haciendo clic en el enlace incrustado».
La cadena de ataque es un flujo de redireccionamiento de varios pasos que comienza cuando el destinatario del correo electrónico hace clic en un enlace alojado en Storage.cloud.google(.)com, otro servicio confiable de Google Cloud. Este esfuerzo se considera otro intento de reducir las sospechas de los usuarios y proporcionar una apariencia de legitimidad.
Luego, el enlace redirige al usuario al contenido servido desde googleusercontent(.)com y presenta un CAPTCHA falso o una verificación basada en imágenes. Esto actúa como una barrera que impide que los escáneres automatizados y las herramientas de seguridad escudriñen la infraestructura de ataque y permite el paso a usuarios reales.
Una vez que se completa la fase de verificación, el usuario es dirigido a una página de inicio de sesión falsa de Microsoft alojada en un dominio que no es de Microsoft y, en última instancia, roba las credenciales ingresadas por la víctima.
En respuesta a los hallazgos, Google agregó que detendrá los intentos de phishing que explotan la función de notificación por correo electrónico dentro de la integración de aplicaciones de Google Cloud y tomará medidas adicionales para evitar mayores abusos.
El análisis de Check Point revela que la campaña se dirige principalmente a las industrias manufacturera, tecnológica, financiera, de servicios profesionales y minorista, pero también menciona otras industrias como los medios de comunicación, la educación, la atención sanitaria, la energía, el gobierno, los viajes y el transporte.
«Las alertas de la marca Google son particularmente convincentes porque estas áreas normalmente dependen de notificaciones automáticas, documentos compartidos y flujos de trabajo basados en permisos», añadió. «Esta campaña destaca cómo los atacantes pueden aprovechar las capacidades legítimas de flujo de trabajo y automatización de la nube para distribuir phishing a escala sin la suplantación de identidad tradicional».
Source link
