Los investigadores de seguridad advierten sobre el aumento de la actividad de phishing que abusa de las páginas móviles aceleradas de Google (AMP) para eludir las medidas de seguridad del correo electrónico y llegar a las bandejas de entrada de los empleados de la empresa.
Google AMP es un marco HTML de código abierto desarrollado conjuntamente por Google y 30 socios para hacer que el contenido web se cargue más rápido en los dispositivos móviles.
Las páginas de AMP se alojan en los servidores de Google, donde el contenido se simplifica y algunos de los elementos multimedia más pesados se cargan previamente para una entrega más rápida.
La idea detrás del uso de URL de AMP de Google incrustadas en correos electrónicos de phishing es asegurarse de que la tecnología de protección de correo electrónico no marque los mensajes como maliciosos o sospechosos debido a la buena reputación de Google.
Las URL de AMP desencadenan una redirección a un sitio de phishing malicioso y este paso adicional también agrega una capa de interrupción del análisis.
Los datos de la compañía de protección antiphishing Cofense muestran que el volumen de ataques de phishing que emplean AMP se disparó significativamente hacia mediados de julio, lo que sugiere que los actores de amenazas pueden estar adoptando el método.
Nagios es un poderoso sistema de monitoreo de infraestructuras TI que permite a las organizaciones identificar y resolver problemas antes de que afecten los procesos comerciales críticos.
Conocer..
“De todas las URL de Google AMP que hemos observado, aproximadamente el 77% estaban alojadas en el dominio google.com y el 23% estaban alojadas en el dominio google.co.uk”, explica Cofense en el informe.
Aunque la ruta «google.com/amp/s/» es común en todos los casos, bloquearla también afectaría todos los casos legítimos de uso de Google AMP. Sin embargo, marcarlos puede ser la acción más apropiada, al menos para alertar a los destinatarios de que desconfíen de las redirecciones potencialmente maliciosas.
Sigilo adicional
Cofense dice que los actores de phishing que abusan del servicio Google AMP también emplean una gama de técnicas adicionales que colectivamente ayudan a evadir la detección y aumentan su tasa de éxito.
Por ejemplo, en muchos casos observados por Cofense, los actores de amenazas utilizaron correos electrónicos HTML basados en imágenes en lugar de un cuerpo de texto tradicional. Esto es para confundir a los escáneres de texto que buscan términos comunes de phishing en el contenido del mensaje.
Finalmente, los atacantes emplearon el servicio CAPTCHA de Cloudflare para frustrar el análisis automatizado de las páginas de phishing por parte de los bots de seguridad, evitando que los rastreadores las alcancen.
En general, los actores de phishing de hoy emplean múltiples métodos de evasión de detección que hacen que sea cada vez más difícil para los objetivos y las herramientas de seguridad detectar las amenazas y bloquearlas.
Fuente: Bleepingcomputer
