SophosLabs revela cómo los ciberdelincuentes utilizan Google Forms. El phishing y el malware a menudo allanan el camino para el ransomware o el robo de datos. El último análisis de SophosLabs muestra cómo los estafadores utilizan los formularios de Google para sus fines.
Sophos ha publicado un nuevo informe de análisis titulado: "Los actores de phishing y malware abusan de los formularios de Google para obtener credenciales, exfiltración de datos", que trata sobre el uso indebido de los formularios de Google por parte de los ciberdelincuentes.
Formularios de Google se lo pone fácil a los ciberdelincuentes
"La medida en que los atacantes aprovechan Google Forms salió a la luz cuando investigamos cómo el malware abusa del cifrado para ofuscar actividades y comunicaciones", dijo Sean Gallagher, investigador principal de amenazas en Sophos. “Google Forms se lo pone particularmente fácil a los ciberdelincuentes: los formularios son fáciles de implementar y confiables, tanto para la organización como para el consumidor. El flujo de datos hacia y desde el servicio está protegido por el cifrado Transport Layer Security (TLS), lo que hace que sea menos fácil de inspeccionar para los defensores. Entonces, toda la configuración implica esencialmente una infraestructura de ataque libre”.
El análisis muestra que el uso indebido más común de Google Forms está en las áreas de phishing y fraude, que requiere relativamente poca habilidad. Sin embargo, cada vez hay más señales de que los atacantes están utilizando la plataforma para ataques más complejos. En los ejemplos, los delincuentes utilizaron formularios de Google para la exfiltración de datos y el comando y control de malware.
Siete tipos de usos delictivos de Google Forms
1. Suplantación de identidad:
Google advierte a los usuarios en cada página de Formularios que no revelen los detalles de la contraseña. Sin embargo, los expertos de Sophos encontraron varios ejemplos en los que los atacantes intentaron que las posibles víctimas ingresaran sus datos personales de acceso en un formulario falso de Google. Estos a menudo están vinculados a campañas de spam maliciosas.
2. Campañas de spam malicioso
Una de las mayores fuentes de estos enlaces de phishing en el correo no deseado eran los enlaces de "cancelar suscripción" en los correos electrónicos de marketing engañosos. Sophos interceptó varias de estas campañas de phishing dirigidas a cuentas en línea de Microsoft, incluido Office365. Los correos no deseados indicaban que las cuentas de correo electrónico del destinatario se cerrarían si no las verificaban de inmediato. Se envió un enlace falso con gráficos de Microsoft, pero claramente no era un formulario genuino de Google.
3. Robo de tarjetas de pago
A los estafadores principiantes les gusta usar plantillas de diseño de formularios de Google preconstruidas para robar datos de pago con tarjeta usando sitios de comercio electrónico falsos y aparentemente seguros.
4. PUAs (aplicaciones potencialmente no deseadas), como adware
Los usuarios de Windows en particular a menudo se ven afectados. Estas aplicaciones utilizan de manera sigilosa las páginas de Formularios de Google mientras se recopilan las solicitudes web y se enrutan automáticamente a los formularios; no se requiere la interacción del usuario.
5. Interfaz de usuario falsa para aplicaciones maliciosas de Android
Sophos descubrió algunas aplicaciones maliciosas de Android que utilizan Google Forms para recopilar datos sin tener que codificar ningún sitio web de back-end. La mayoría de estas aplicaciones eran adware o PUA, incluida SnapTube, una aplicación de video que genera ingresos para los desarrolladores a través de estafas publicitarias e incluye una página de formulario de Google para revisiones.
6. Borrado de datos
Los analistas descubrieron una serie de amenazas aún más sofisticadas que explotan Google Forms. Esto incluye, por ejemplo, aplicaciones maliciosas de Windows que utilizan solicitudes web a formularios de Google para "empujar" datos informáticos robados a una hoja de cálculo de Google.
7. Parte de una infraestructura de ciberataques maliciosos más grande
Sophos ha descubierto varios scripts de PowerShell que interactúan con Google Forms. Luego, los expertos pudieron recrear cómo se puede usar un script de PowerShell para recopilar datos de perfil de Windows desde una PC e insertarlos automáticamente en un formulario de Google.
No confíes ciegamente en doc.google.com
Sean Gallagher también recomienda: “Google cierra con frecuencia las cuentas asociadas con el abuso masivo de aplicaciones, incluidos los formularios de Google. Sin embargo, un uso más raro pero específico de Formularios de Google por parte de malware podría pasar desapercibido. Por lo tanto, los usuarios deben estar alerta cuando vean enlaces a Formularios de Google u otros enlaces para compartir permisos aparentemente legítimos, y no confiar ciegamente en el tráfico TLS a dominios aparentemente conocidos, como doc.google.com”.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.