Los investigadores de Harmony Email de Check Point Software han identificado una nueva y preocupante campaña de phishing que utiliza Google Apps Script. Se trata de una herramienta diseñada para automatizar tareas en las aplicaciones de Google, para suplantar macros y atacar a diversas empresas. Esta modalidad de phishing ha sido implementada en más de 360 correos electrónicos que, de manera engañosa, incluyen falsos ‘detalles de la cuenta’ para un registro que las víctimas nunca iniciaron.
Check Point Software Technologies, proveedor líder en soluciones de ciberseguridad basadas en la nube e impulsadas por IA, resaltó que las macros de Google Apps Script son altamente utilizadas en entornos empresariales por su capacidad para automatizar flujos de trabajo. Además, se integran con múltiples servicios de Google. Esta popularidad ha sido aprovechada por los atacantes para disfrazar su campaña como legítima.
¿Cómo funciona el ataque?
La campaña de phishing detectada por los expertos de Check Point Harmony Email & Collaboration se basa en correos electrónicos que incluyen enlaces maliciosos dentro de la línea de asunto. Estos correos electrónicos están redactados en varios idiomas, incluyendo inglés, ruso, chino, árabe, italiano, alemán y francés, lo que sugiere que el ataque tiene un alcance global. En los mensajes, se presenta un supuesto registro de cuenta que el destinatario nunca ha solicitado.
Al hacer clic en el enlace, el usuario es redirigido a una página que utiliza Google Apps Script, donde se despliega una URL que contiene el dominio scrip.google.com. La URL ha sido diseñada para simular un servicio de pago legítimo y seguro, lo que incrementa las posibilidades de que la víctima introduzca información sensible. Una vez que los atacantes obtienen estos datos, los riesgos para las empresas pueden ser devastadores, desde la exposición de datos confidenciales hasta la pérdida financiera y la interrupción de sus operaciones.
Estrategias de mitigación
Para mitigar los riesgos de esta campaña de phishing, los expertos en ciberseguridad recomiendan implementar diversas medidas proactivas. Algunas de las estrategias sugeridas son las siguientes:
- Filtrado avanzado de correos electrónicos: Utilizar herramientas de ciberseguridad avanzadas que empleen algoritmos de aprendizaje automático y técnicas de inteligencia artificial para identificar y filtrar correos electrónicos maliciosos antes de que lleguen a los usuarios.
- Detección de URL en tiempo real: Emplear tecnologías que puedan analizar y bloquear automáticamente las URLs maliciosas incluidas en correos electrónicos, evitando que los usuarios accedan a sitios web peligrosos.
- Procesamiento de Lenguaje Natural (PLN) con IA: Aplicar herramientas que utilicen procesamiento de lenguaje natural para analizar el contexto y la intención de los correos electrónicos, con el objetivo de detectar mensajes fraudulentos antes de que lleguen a los destinatarios.
- Soluciones basadas en IA: Incorporar sistemas de detección basados en IA para identificar y bloquear amenazas emergentes. Estas herramientas permiten a las empresas contar con las medidas de protección más actualizadas en tiempo real.
- Formación en ciberseguridad: Es crucial que las empresas capaciten a sus empleados en la identificación de correos electrónicos sospechosos y los procedimientos internos para reportarlos. La formación constante en temas de ciberseguridad es una de las mejores maneras de prevenir ataques exitosos.
Eusebio Nieva, director técnico de Check Point Software para España y Portugal, destacó la importancia de estar alerta ante este tipo de amenazas. Según Nieva, ‘Las URLs que redirigen a páginas solicitando información confidencial son señales claras de alerta y deben evitarse. Gracias a nuestras soluciones de seguridad avanzadas, los clientes de Check Point Software continúan estando protegidos frente a este tipo de ataques’.
Impacto y alcance de la campaña
La naturaleza global de esta campaña de phishing, con correos electrónicos redactados en múltiples idiomas, refleja el alto nivel de sofisticación de los atacantes. Este tipo de ataques no solo afecta a las grandes corporaciones, sino que también representa un riesgo significativo para empresas pequeñas y medianas que utilizan Google Apps Script en sus operaciones diarias.
La sofisticación detrás del uso de Google Apps Script para generar URLs maliciosas y engañar a las víctimas subraya la necesidad de contar con herramientas de ciberseguridad robustas. Empresas de todo el mundo deben estar atentas a esta creciente amenaza y adoptar las medidas necesarias para proteger sus datos, operaciones y sistemas.
