Los actores de amenazas no identificados están aprovechando servicios legítimos como PayPal o Google Workspace para enviar correos electrónicos de phishing y eludir prácticamente todas las soluciones de seguridad de correo electrónico disponibles en la actualidad.
Un informe de los investigadores de seguridad cibernética Avanan ha detallado cómo los piratas informáticos lograron obligar a estos servicios a enviar correos electrónicos de phishing en su nombre, engañando así a las soluciones de seguridad del correo electrónico.
Para los delincuentes, el problema con los correos electrónicos de phishing es que los dominios desde los que se envían, las líneas de asunto del correo electrónico y el contenido son escaneados por productos de seguridad de correo electrónico y, a menudo, no llegan a la bandeja de entrada de la víctima. Sin embargo, cuando ese correo electrónico proviene de Google, el producto de seguridad no tiene otra opción que dejarlo pasar.
facturas falsas
Ahora, si un actor de amenazas crea un archivo malicioso de Google Docs con un enlace a un sitio de phishing y simplemente etiqueta a la víctima en él, Google enviará la notificación sin generar ninguna alarma. Ese documento puede ser cualquier cosa, desde una factura falsa hasta una notificación falsa de renovación de un servicio. Por lo general, el denominador común de todos estos correos electrónicos es que algo debe abordarse con urgencia, de lo contrario, la víctima perderá dinero.
Lo mismo ocurre con PayPal. Un atacante puede generar una factura falsa con un enlace al sitio web de phishing en la descripción de la factura y simplemente enviarla por correo a través de PayPal a la víctima.
Además de estas dos empresas, los actores de amenazas también se han hecho pasar por (se abre en una pestaña nueva) SharePoint, FedEx, Intuit, iCloud y otros, afirman los investigadores.
La mayoría de las veces, los piratas informáticos involucrados en el phishing buscan credenciales para sistemas confidenciales que luego pueden usar para distribuir malware más peligroso (por ejemplo, para ejecutar una operación de ransomware). En otros casos, buscarían información de pago, ya sea para venderla en el mercado negro o para usarla para financiar actividades ilegales (como DDoS-as-a-service, por ejemplo).