En lo que se ha descrito como un «ataque de phishing extremadamente sofisticado», los actores de amenaza han aprovechado un enfoque poco común que permitió enviar correos electrónicos falsos a través de la infraestructura de Google y redirigir a los destinatarios de mensajes a sitios fraudulentos que cosechan sus credenciales.
«Lo primero que debe tener en cuenta es que este es un correo electrónico firmado válido: realmente se envió desde no-reply@google.com», Nick Johnson, el desarrollador principal del Servicio de nombre de Ethereum (ENS), dicho En una serie de publicaciones en X.
«Pasa la verificación de la firma DKIM, y Gmail lo muestra sin advertencias, incluso lo pone en la misma conversación que otras alertas de seguridad legítimas».
El mensaje de correo electrónico informa a los posibles objetivos de una citación de una autoridad de aplicación de la ley que solicita contenido no especificado presente en su cuenta de Google y los insta a hacer clic en un sitio.google[.]Coms para «examinar los materiales del caso o tomar medidas para presentar una protesta».
La URL de los sitios de Google muestra una página del aspecto parecido que se hace pasar por la página legítima de soporte de Google e incluye botones para «cargar documentos adicionales» o «ver caso». Al hacer clic en cualquiera de las opciones lleva a la víctima a una réplica de la página de inicio de sesión de la cuenta de Google, la única diferencia es que está alojada en los sitios de Google.
«Sites.google.com es un producto heredado de antes de que Google se tomara en serio la seguridad; permite a los usuarios alojar contenido en un subdominio de Google.com, y de manera crucial admite scripts e incrustaciones arbitrarias», dijo Johnson.
«Obviamente, esto hace que la construcción de un sitio de recolección de credencial sea trivial; simplemente tienen que estar preparados para subir nuevas versiones a medida que el equipo de abuso de Google la elimina. También ayuda a los atacantes que no hay forma de informar el abuso de la interfaz de los sitios».
Un aspecto inteligente del ataque es el hecho de que el mensaje de correo electrónico tiene el encabezado «firmado por» configurado en «GOOGLE[.]com «a pesar de tener un encabezado» enviado por «por» con un dominio completamente no relacionado («FWD-04-1.FWD.PrivateEmail[.]com «).
La actividad maliciosa se ha caracterizado como un Ataque de reproducción de dkimdonde el atacante crea por primera vez una cuenta de Google para un dominio recién creado («yo@
«Ahora otorgan el acceso a su aplicación OAuth a su cuenta ‘Me@…’ de Google», dijo Johnson. «Esto genera un mensaje de ‘Alerta de seguridad’ de Google, enviado a su dirección de correo electrónico ‘Me@…’. Dado que Google generó el correo electrónico, está firmado con una clave DKIM válida y pasa todas las verificaciones».
Luego, el atacante procede a reenviar el mismo mensaje desde una cuenta de Outlook, manteniendo intacta la firma DKIM y haciendo que el mensaje pase por alto los filtros de seguridad de correo electrónico, según EasyDMARC. El mensaje se transmite posteriormente a través de un protocolo de transferencia de correo simple personalizado (Smtp) Servicio llamado Jellyfish y recibido por la infraestructura de correo privado de Namecheap que facilita el reenvío de correo a la cuenta de Gmail específica.
«En este punto, el correo electrónico llega a la bandeja de entrada de la víctima como un mensaje válido de Google, y todas las verificaciones de autenticación se muestran como pase SPF, DKIM y DMARC», CEO de EasyDMarc, Gerasim Hovhannisyan dicho.
«Debido a que nombraron su cuenta de Google ‘me@’, Gmail muestra que el mensaje fue enviado a ‘Yo’ en la parte superior, que es la taquigrafía que usa cuando se dirige un mensaje a su dirección de correo electrónico, evitando otra indicación que podría enviar banderas rojas», señaló Johnson.
Cuando se contactó para hacer comentarios, Google le dijo a Hacker News que ha implementado correcciones para detener la vía de abuso y enfatizó que la compañía no solicita credenciales de cuentas, como contraseñas o contraseñas únicas, ni llaman directamente a los usuarios.
«Somos conscientes de esta clase de ataque objetivo de este actor de amenaza, y hemos lanzado protecciones para cerrar esta vía para abusar», dijo un portavoz de Google. «Mientras tanto, alentamos a los usuarios a adoptar la autenticación de dos factores y las veras pasas, que brindan una fuerte protección contra este tipo de campañas de phishing».
La divulgación se produce casi nueve meses después de Guardio Labs reveló Una configuración errónea ahora empatada en las defensas del proveedor de seguridad de correo electrónico Proofpoint de que los actores de amenaza explotaron para enviar millones de mensajes que falsifican a varias compañías populares como Best Buy, IBM, Nike y Walt Disney, y las medidas de autenticación de omisión.
También coincide con un aumento en las campañas de phishing que hacen uso de los archivos adjuntos en gráficos vectoriales escalables (SVG) Formateo para activar la ejecución del código HTML que, a su vez, redirige a los usuarios a un formulario de inicio de sesión de Microsoft Rogue o una página web falsa disfrazada de Google Voice para atraerlos a ingresar sus credenciales.
La compañía rusa de ciberseguridad Kaspersky dijo que ha observado más de 4,100 correos electrónicos de phishing con archivos adjuntos de SVG desde el comienzo de 2025.
«Los phishers están explorando implacablemente nuevas técnicas para eludir la detección», Kaspersky dicho. «Varían sus tácticas, a veces empleando la redirección del usuario y la ofuscación del texto, y otras veces, experimentando con diferentes formatos de archivo adjunto. El formato SVG proporciona la capacidad de incrustar el código HTML y JavaScript dentro de las imágenes, lo cual es utilizado mal por los atacantes».
