Los atacantes de malware podrían explotar una debilidad de seguridad sin parches en Google Drive para distribuir archivos maliciosos disfrazados de imágenes o documentos legítimos, lo que permitiría a los malhechores realizar ataques de phishing con una tasa de éxito comparativamente alta.
El problema de seguridad más reciente, del que Google es consciente pero, lamentablemente, no se solucionó, reside en la funcionalidad de «administrar versiones» que ofrece Google Drive, que permite a los usuarios cargar y administrar diferentes versiones de un archivo, así como en la forma en que su interfaz proporciona una nueva versión de los archivos a los usuarios.
Lógicamente, la funcionalidad de administrar versiones debería permitir a los usuarios de Google Drive actualizar una versión anterior de un archivo con una nueva versión que tenga la misma extensión de archivo, pero resulta que no es el caso.
Según A. Nikoci, un administrador de sistemas de profesión que informó la falla a Google y luego la reveló a The Hacker News, el afectado funcionalmente permite a los usuarios cargar una nueva versión con cualquier extensión de archivo para cualquier archivo existente en el almacenamiento en la nube, incluso con un ejecutable malicioso.
Como se muestra en los videos de demostración, que Nikoci compartió exclusivamente con The Hacker News, al hacerlo, una versión legítima del archivo que ya se compartió entre un grupo de usuarios puede ser reemplazada por un archivo malicioso, que cuando se ve en línea no lo hace. indicar cambios recién realizados o generar cualquier alarma, pero cuando se descargan se pueden emplear para infectar sistemas específicos.
«Google te permite cambiar la versión del archivo sin verificar si es del mismo tipo», dijo Nikoci. «Ni siquiera forzaron la misma prórroga».
No hace falta decir que el problema deja la puerta abierta para campañas de spear-phishing altamente efectivas que aprovechan la prevalencia generalizada de servicios en la nube como Google Drive para distribuir malware.
El desarrollo se produce cuando Google solucionó recientemente una falla de seguridad en Gmail que podría haber permitido que un actor de amenazas enviara correos electrónicos falsificados imitando a cualquier cliente de Gmail o G Suite, incluso cuando las estrictas políticas de seguridad DMARC / SPF están habilitadas.
A los hackers de malware les encanta Google Drive
Las estafas de phishing selectivo generalmente intentan engañar a los destinatarios para que abran archivos adjuntos maliciosos o hagan clic en enlaces aparentemente inocuos, proporcionando así información confidencial, como credenciales de cuenta, al atacante en el proceso.
Los enlaces y archivos adjuntos también se pueden usar para que el destinatario descargue malware sin saberlo que puede dar acceso al atacante al sistema informático del usuario y otra información confidencial.
Este nuevo problema de seguridad no es diferente. La función de actualización de archivos de Google Drive pretende ser una manera fácil de actualizar archivos compartidos, incluida la capacidad de reemplazar el documento con una versión completamente nueva del sistema. De esta manera, el archivo compartido se puede actualizar sin cambiar su enlace.
Sin embargo, sin ninguna validación para las extensiones de archivo, esto puede tener consecuencias potencialmente graves cuando los usuarios del archivo compartido, quienes, al recibir la notificación del cambio a través de un correo electrónico, terminan descargando el documento e infectando sus sistemas sin saberlo con malware.
Tal escenario podría aprovecharse para montar ataques de caza de ballenas, una táctica de phishing que a menudo utilizan las bandas de delincuentes cibernéticos para hacerse pasar por personal directivo superior en una organización y apuntar a personas específicas, con la esperanza de robar información confidencial u obtener acceso a sus sistemas informáticos con fines delictivos. .
Peor aún, Google Chrome parece confiar implícitamente en los archivos descargados de Google Drive, incluso cuando otros programas antivirus los detectan como maliciosos.
Los servicios en la nube se convierten en un vector de ataque
Aunque no hay evidencia de que esta falla haya sido explotada en la naturaleza, no sería difícil para los atacantes reutilizarla para su beneficio dado que los servicios en la nube han sido un vehículo para la entrega de malware en varios ataques de phishing en los últimos meses.
A principios de este año, Zscaler identificó una campaña de phishing que empleó Google Drive para descargar un ladrón de contraseñas puesto en peligro inicial.
El mes pasado, Check Point Research y Cofense destacaron una serie de nuevas campañas en las que se encontraron actores de amenazas que no solo usaban correos electrónicos no deseados para incrustar malware alojado en servicios como Dropbox y Google Drive, sino que también explotaban los servicios de almacenamiento en la nube para alojar páginas de phishing.
ESET, en un análisis del grupo Evilnum APT, observó una tendencia similar donde las empresas fintech en Europa y el Reino Unido han sido blanco de correos electrónicos de phishing selectivo que contienen un enlace a un archivo ZIP alojado en Google Drive para robar licencias de software, crédito del cliente información de tarjetas e inversiones y documentos comerciales.
Del mismo modo, Fortinet, en una campaña detectada a principios de este mes, descubrió evidencia de un señuelo de phishing con el tema de COVID-19 que supuestamente advertía a los usuarios sobre retrasos en los pagos debido a la pandemia, solo para descargar el troyano de acceso remoto NetWire alojado en una URL de Google Drive.
Dado que los estafadores y los delincuentes hacen todo lo posible para ocultar sus intenciones maliciosas, es esencial que los usuarios vigilen de cerca los correos electrónicos sospechosos, incluidas las notificaciones de Google Drive, para mitigar cualquier posible riesgo.
