Check Point Research detectó una campaña de phishing que abusa de Google Cloud Application Integration para enviar 9.394 correos maliciosos desde la dirección legítima noreply-application-integration@google.com.
Los mensajes imitan notificaciones empresariales de Google sobre correo de voz, acceso a archivos o permisos, dirigidos a 3.200 clientes en 14 días.
Los atacantes explotaron la función "Enviar correo electrónico" de Google Cloud para automatizar envíos masivos sin comprometer la infraestructura de Google.
La táctica eludió filtros tradicionales por usar dominios confiables.
Google confirmó el bloqueo de campañas y reforzó las protecciones.
La amenaza afectó principalmente a los sectores de:
Los correos siguen un flujo de redirección en capas para evadir detección.
El clic inicial lleva a storage.cloud.google.com, y genera confianza inmediata.
Luego redirige a googleusercontent.com con CAPTCHA falso que bloquea escáneres automáticos.
El destino final es una página de login falsa de Microsoft que captura credenciales.
Esta secuencia combina nube legítima con suplantación para maximizar éxito.
Los expertos precisaron que los señuelos usan lenguaje y formato idénticos a alertas reales de Google.
La campaña impactó a EE.UU. (48,6%), Asia-Pacífico (20,7%) y Europa (19,8%), con Latinoamérica (3%) concentrada en Brasil (41%), México (26%) y Argentina (13%).
Sectores con flujos automatizados son blancos ideales por credibilidad de notificaciones.
Google aclaró que no hubo brecha en su infraestructura, sino abuso de herramienta legítima.
La empresa implementó bloqueos y urge cautela con enlaces.
Los atacantes escalaron phishing vía automatización en la nube.
Check Point destacó que los ciberdelincuentes convirtieron funciones legítimas en vectores de ataque masivo.
Lo lograron porque la suplantación perfecta del remitente salta filtros de reputación.
En ese sentido, las empresas deben verificar enlaces manualmente pese a dominios confiables.
La campaña hace que se refuerce la vigilancia en notificaciones rutinarias.
En ese sentido, las soluciones de seguridad deben analizar flujos de redirección complejos.
Por su parte, Google confirmó la toma medidas adicionales contra abusos futuros.