El phishing se pasa al la nube: primeros ataques dirigidos a Google Cloud

El phishing “tradicional” podría tener los días contados si comienzan a popularizarse ataques como el que acaba de poner en evidencia, Netskope, compañía se seguridad en entornos cloud. Como han explicado responsables de esta organización, se han registrado una serie de al menos 42 ataques dirigidos a grandes organizaciones, con un factor en común: el empleo de la plataforma de computación cloud de Google, Google App Engine (GCP) como vector de ataque desde el que distribuir malware.



El modus operandi de la organización (que algunos consideran podría estar asociada a Cobalt Strike) pasa por compartir documentos aparentemente legítimos al teóricamente estar alojados en los servidores de Google. Sin embargo al pinchar sobre el enlace que proporcionan, redirigen a una URL falsa que aloja el malware.



Hablamos en este sentido de uno de los primeros ejemplos de phishing distribuido en “modalidad cloud”, ya que la víctima se convence de que nada puede pasar si el archivo que quiere descargar ha sido previamente verificado por Google y sus controles de seguridad.



Así lo explica Ashwin Vamshi, experto en seguridad de Netskope: “Los ataques se realizaron por medio de PDFs que actuaban como señuelo, redireccionando el tráfico de la URL de GCP a otra URL falsa, donde se alojaba una carga útil maligna. Este ataque dirigido es más efectivo que los ataques tradicionales porque la URL del host apunta hacia la URL que aloja el malware, vía Google App Engine, consiguiendo que la víctima crea que el archivo se está entregando desde una fuente de confianza como Google”. ¿Cómo podemos protegernos ante este tipo de ataques? Netskope propone las siguientes recomendaciones:



Comprobar el dominio del enlace

Implementar una solución de visibilidad y control en tiempo real para supervisar las actividades de las cuentas en la nube permitidas y no permitidas.

Integrar una herramienta de detección de amenazas y malware para IaaS, SaaS, PaaS y Web

Realizar un seguimiento activo del uso de aplicaciones cloud no autorizadas

Advertir a los usuarios sobre la apertura de archivos adjuntos no confiables.

Desmarcar la opción “Recordar esta acción para este sitio para todos los documentos PDF”, incluso aunque el sitio parezca legítimo.

Realizar un seguimiento activo de los enlaces URL añadidos a la lista “Siempre permitido” en el software del lector de PDF.

Mantener actualizados los sistemas y el antivirus con las últimas versiones y parches.