Investigadores de seguridad, descubrieron un ataque de phishing en desarrollo que utiliza las invitaciones de Google Calendar y las páginas de Google Drawings para robar credenciales, evitando así, los filtros de spam.

Según lo informado por Check Point, quien ha estado monitoreando esta campaña, los actores han apuntado a 300 marcas, enviando más de 4,000 correos electrónicos en un periodo de cuatro semanas. En base a lo detallado, la entidad dijo que las víctimas incluyen una variedad de organizaciones, como instituciones educativas, servicios de salud, empresas de construcción y bancos.

El ataque comienza con invitaciones a reuniones a través de Google Calendar, las cuales, parecen legítimas, especialmente si incluyen nombres conocidos como otros invitados. Dichas invitaciones, vienen con enlaces que dirigen a páginas de Google Forms o Google Drawings, donde se pide al usuario hacer clic en otro enlace representado como un reCaptcha o un botón de soporte.

Los investigadores de Check Point explicaron que, utilizando esta metodología, los actores logran evadir los filtros de spam, ya que los mensajes provienen de un servicio legítimo de Google. Se confirmó también que los encabezados de los correos electrónicos, pasaron las verificaciones de seguridad DKIM, SPF y DMARC, permitiendo que las invitaciones llegaran directamente a las bandejas de entrada de las víctimas.

Para garantizar y reforzar el impacto del ataque, los actores incluyen mensajes adicionales dirigidos a los invitados. Estos mensajes pueden contener enlaces, como páginas de Google Drawings, para seguir atrayendo a las víctimas hacia sitios de phishing.

Aunque este tipo de estafa no es nueva, Google ya había implementado medidas de protección para facilitar a los usuarios el bloqueo de estas invitaciones fraudulentas. Sin embargo, si los administradores de Google Workspace no activan estas medidas, las invitaciones continuarán agregándose automáticamente a los calendarios de los usuarios, por tal motivo, se aconseja ser cautelosos con las invitaciones de reuniones, particularmente si incluyen enlaces maliciosos.

Fuente

https://www.bleepingcomputer.com/news/security/ongoing-phishing-attack-abuses-google-calendar-to-bypass-spam-filters/