Entradas de blog etiquetadas con ' #infosec '

Una campaña de phishing utiliza una página de seguridad de una cuenta de Google falsificada para distribuir una aplicación web progresiva (PWA) maliciosa. La aplicación está diseñada para robar contraseñas de un solo uso, recopilar direcciones de monederos de criptomonedas y convertir los navegadores de las víctimas en servidores proxy para el tráfico de los atacantes.

¿Cuál es la amenaza?

El sitio falso de seguridad de Google forma parte de un esquema de phishing que imita páginas legítimas de verificación de cuentas de Google. Las víctimas son redirigidas a él mediante enlaces que parecen genuinos, a menudo enviados por correo electrónico, anuncios o sitios web comprometidos.

En lugar de presentar un formulario típico de phishing, los atacantes activan la instalación de una PWA directamente en el navegador de la víctima, simulando la interfaz de una aplicación confiable. Sus atributos clave incluyen:

• Ventanas emergentes engañosas de alerta de seguridad
• Indicaciones para volver a verificar o iniciar sesión
• Ventanas que imitan los diálogos nativos del sistema
• Recopilación de credenciales de usuario en tiempo real

A diferencia de los sitios de phishing estándar, la PWA puede permanecer activa incluso después de cerrar el navegador, lo que dificulta su detección.

¿Por qué es digno de mención?

Esta campaña combina ingeniería social con funcionalidades de PWA para que la página de seguridad falsa de Google parezca legítima. Los atacantes utilizan el dominio "google-prism[.]com" y guían a las víctimas a través de un proceso de cuatro pasos que solicita permisos confidenciales y, finalmente, instala la PWA maliciosa.

Una vez instalada, la aplicación puede extraer contactos, ubicación GPS y datos del portapapeles, además de funcionar como proxy de red y escáner de puertos interno. También aprovecha la API WebOTP para capturar códigos de verificación SMS y utiliza notificaciones push para atraer a las víctimas a la aplicación y continuar robando datos.

Una aplicación de Android relacionada, disfrazada de actualización de seguridad urgente, solicita 33 permisos de alto riesgo, como SMS, registros de llamadas, acceso al micrófono y servicios de accesibilidad. Estos permisos facilitan el robo de datos y posibles fraudes financieros. Los usuarios deben tener cuidado con las solicitudes de seguridad no solicitadas y acceder únicamente a las herramientas de la cuenta de Google directamente en myaccount.google.com.

¿Cuál es la exposición o riesgo?

Esta campaña de phishing expone a las víctimas a riesgos significativos, como el robo total de cuentas y pérdidas financieras. Aunque muchos usuarios confían en la autenticación multifactor (MFA), los atacantes la eluden mediante intercepción en tiempo real: la página falsa solicita a las víctimas sus credenciales y códigos de verificación, que se transmiten inmediatamente a los atacantes. A continuación, inician sesión y capturan tokens de sesión válidos antes de que caduquen. Este enfoque de intermediario (AiTM) permite a los delincuentes autenticarse simultáneamente con la víctima, lo que debilita eficazmente las protecciones de la MFA.

La mayoría de las víctimas informan que no sintieron nada sospechoso, pero hay señales de advertencia sutiles: alertas de seguridad inesperadas, solicitudes para instalar una aplicación web como parte de la “verificación”, páginas de inicio de sesión que no están alojadas en dominios oficiales de Google, ventanas emergentes que se comportan como aplicaciones independientes y URL o redirecciones ligeramente alteradas.

Recomendaciones

1. No confíe en ventanas emergentes ni correos electrónicos que le soliciten que “verifique” o “asegura” su cuenta.
2. Escriba manualmente myaccount.google.com o utilice la aplicación de Google; nunca haga clic en los enlaces de seguridad en mensajes o anuncios.
3. No acepte los mensajes “Instalar aplicación” o “Agregar a la pantalla de inicio” a menos que haya iniciado el proceso en un sitio confiable.
4. Verifique la configuración del navegador (Chrome/Edge > Aplicaciones/Aplicaciones instaladas) y elimine cualquier PWA desconocida.
5. Instale aplicaciones de Google o relacionadas con la seguridad únicamente desde Google Play Store y las listas oficiales de desarrolladores.
6. Utilice una aplicación de autenticación (por ejemplo, Google Authenticator, Authy) en lugar de SMS para reducir el riesgo de abuso de WebOTP.