Investigadores de ciberseguridad han revelado detalles de una campaña de phishing en la que los atacantes se hacen pasar por mensajes legítimos generados por Google abusando de Google Cloud. Integración de aplicaciones Servicio de distribución de correos electrónicos.
La actividad, dijo Check Point, aprovecha la confianza asociada con la infraestructura de Google Cloud para enviar mensajes desde una dirección de correo electrónico legítima («noreply-application-integration@google[.]com») para que puedan evitar los filtros de seguridad de correo electrónico tradicionales y tener más posibilidades de llegar a las bandejas de entrada de los usuarios.
«Los correos electrónicos imitan notificaciones empresariales de rutina, como alertas de correo de voz y acceso a archivos o solicitudes de permiso, haciéndolos parecer normales y confiables para los destinatarios», dijo la compañía de ciberseguridad. dicho.
Se ha observado que los atacantes enviaron 9394 correos electrónicos de phishing dirigidos a aproximadamente 3200 clientes durante un período de 14 días observado en diciembre de 2025, con las organizaciones afectadas ubicadas en EE. UU., Asia-Pacífico, Europa, Canadá y América Latina.
En el centro de la campaña está el abuso de la integración de aplicaciones «Enviar correo electrónico» tarea, que permite a los usuarios enviar notificaciones por correo electrónico personalizadas desde una integración. Google señala en su documentación de soporte que solo se pueden agregar un máximo de 30 destinatarios a la tarea.
El hecho de que estos correos electrónicos puedan configurarse para enviarse a cualquier dirección de correo electrónico arbitraria demuestra la capacidad del actor de amenazas para hacer un mal uso de una capacidad de automatización legítima en su beneficio y enviar correos electrónicos desde dominios propiedad de Google, evitando efectivamente Comprobaciones DMARC y SPF.
«Para aumentar aún más la confianza, los correos electrónicos siguieron de cerca el estilo y la estructura de notificación de Google, incluido el formato y el lenguaje familiares», dijo Check Point. «Los señuelos comúnmente hacían referencia a mensajes de correo de voz o afirmaciones de que al destinatario se le había otorgado acceso a un archivo o documento compartido, como el acceso a un archivo 'Q4', lo que solicitaba a los destinatarios que hicieran clic en enlaces incrustados y tomaran medidas inmediatas».
La cadena de ataque es un flujo de redirección de varias etapas que comienza cuando un destinatario de correo electrónico hace clic en un enlace alojado en Storage.cloud.google.[.]com, otro servicio confiable de Google Cloud. El esfuerzo se considera otro intento de reducir las sospechas de los usuarios y darle un barniz de legitimidad.
Luego, el enlace redirige al usuario al contenido proporcionado por googleusercontent.[.]com, presentándoles un CAPTCHA falso o verificación basada en imágenes que actúa como una barrera al impedir que los escáneres automatizados y las herramientas de seguridad escudriñen la infraestructura de ataque, al tiempo que permite el paso a usuarios reales.
Una vez que se completa la fase de validación, el usuario es llevado a una página de inicio de sesión falsa de Microsoft alojada en un dominio que no es de Microsoft y, en última instancia, roba las credenciales ingresadas por las víctimas.
En respuesta a los hallazgos, Google bloqueó los esfuerzos de phishing que abusan de la función de notificación por correo electrónico dentro de la integración de aplicaciones de Google Cloud y agregó que está tomando más medidas para evitar un mayor uso indebido.
El análisis de Check Point ha revelado que la campaña se ha dirigido principalmente a los sectores manufacturero, tecnológico, financiero, de servicios profesionales y minorista, aunque se han destacado otros sectores verticales de la industria, incluidos los medios de comunicación, la educación, la atención sanitaria, la energía, el gobierno, los viajes y el transporte.
«Estos sectores suelen depender de notificaciones automáticas, documentos compartidos y flujos de trabajo basados en permisos, lo que hace que las alertas de la marca Google sean especialmente convincentes», añadió. «Esta campaña destaca cómo los atacantes pueden hacer un mal uso de las funciones legítimas de flujo de trabajo y automatización de la nube para distribuir phishing a escala sin la suplantación de identidad tradicional».
Fuente