- Más de 12.000 servidores en todo el mundo soportan una infraestructura de phishing integrada
- Google Cloud Links ayudó a que los correos electrónicos de phishing parecieran más seguros de lo que realmente eran
- Las páginas falsas del New York Times actúan como señuelos para los escáneres
Cuando llega un correo electrónico sospechoso a su bandeja de entrada prometiendo una recompensa financiera o solicitando un pago urgente, la infraestructura detrás de ese correo electrónico rara vez es visible.
Una investigación de Comparitech reveló una red integrada de spam y phishing que abarca 12.704 servidores en 55 países.
Estos correos electrónicos de phishing, vinculados a recompensas financieras falsas y estafas similares, utilizan técnicas diseñadas para eludir herramientas de seguridad como los sistemas de protección antivirus y ransomware en los que confían muchos usuarios.
Los enlaces confiables de Google ayudan a que las campañas eviten la detección
La campaña comienza con correos electrónicos no solicitados que promocionan recompensas financieras, productos de salud, ofertas de juegos de azar o solicitudes de pago urgentes a través de enlaces integrados.
En lugar de dirigir a los destinatarios inmediatamente a sitios web controlados por atacantes, los enlaces primero se dirigen a través de las páginas de Google Cloud Storage alojadas en la infraestructura de Google.
Este enfoque es importante porque los dominios conocidos de Google suelen recibir menos escrutinio por parte de los usuarios y sistemas de filtrado automatizados que los sitios web desconocidos.
Las URL propiedad de Google pasan fácilmente a través de puertas de enlace de correo electrónico, cortafuegos y filtros de reputación que aumentan periódicamente la confianza en los dominios de Google sin una inspección profunda.
Los investigadores descubrieron que los atacantes subieron archivos HTML y JavaScript simples a ubicaciones de almacenamiento en la nube, para poder redirigir a los visitantes a los servidores de Google sin colocar contenido obviamente malicioso.
Esta separación entre el enlace inicial y el destino final proporciona flexibilidad operativa a los operadores de campaña.
Los destinos de redireccionamiento se pueden cambiar en cualquier momento sin necesidad de realizar cambios en los correos electrónicos que ya se han entregado a las víctimas potenciales.
Durante las pruebas, los investigadores encontraron repetidamente páginas de destino casi idénticas que mostraban contenido de noticias copiado. Los New York Times.
Estas páginas están diseñadas para servir como señuelos inofensivos para productos de seguridad, investigadores y visitantes que no cumplen con ciertos criterios de selección.
Las infraestructuras que soportan estas páginas comparten configuraciones de software comunes, directorios de recursos coincidentes, comportamiento de redireccionamiento similar y entornos de servidores en gran medida obsoletos.
La escala es difícil de descartar
La investigación rastreó la red a través de una única ruta de archivo CSS (assets/ayt/css/main.css) repetida de manera idéntica en miles de servidores.
Este patrón apunta a una implementación centralizada en lugar de operadores independientes: de los 12.704 servidores identificados, el 99,8% ejecutaba software al final de su vida útil sin actualizaciones de seguridad activas, distribuidos en 412 proveedores de alojamiento en docenas de jurisdicciones.
Es casi seguro que esa dispersión geográfica fue intencional: las eliminaciones dirigidas a un proveedor dejan al resto de la red completamente intacto.
Al comparar 5.000 de esos servidores con una base de datos de reputación de IP de origen público, se encontró que el 89% no tenía antecedentes de abuso previo.
Esto sugiere que la infraestructura se ha aprovisionado recientemente o se ha rotado con suficiente frecuencia para mantenerse por delante de los sistemas antivirus y de inteligencia de amenazas.
Cualquiera que ingrese información personal en cualquier página a la que llegue a través de uno de estos correos electrónicos debe considerar que esos datos están comprometidos.
Dichos usuarios deben cambiar sus contraseñas de inmediato, especialmente cuando la contraseña se reutiliza en múltiples servicios.
Además, es importante monitorear constantemente todas las cuentas financieras para detectar actividades inusuales, sin importar cuán pequeñas puedan parecer inicialmente.
Hacer clic en un enlace sin ingresar ninguna información aún conlleva una consecuencia. Ese clic confirmó a los operadores que la dirección de correo electrónico estaba viva y activa.
Esto significa que el correo electrónico puede recibir un mayor volumen de spam en el futuro, lo que aumenta el riesgo de exposición a intentos de phishing y esquemas fraudulentos adicionales.
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
