La plataforma de Cloud de Google está siendo atacada por los cibercriminales. Así lo afirman expertos de Netskope tras identificar varios ataques dirigidos contra 42 entornos de clientes, a través de Netskope Threat Research Labs, su solución de protección avanzada contra amenazas.

Por el momento, parece que los ataques van dirigidos principalmente a clientes del sector bancario y financiero de todo el mundo. De hecho, “es probable que varios de estos señuelos estuvieran relacionados con el desgraciadamente célebre grupo de ciberdelincuentes Cobalt Strike” apuntan desde la empresa.

Según detallan desde la empresa, los atacantes responsables emplearon la plataforma de computación Cloud de Google (GCP) App Engine para distribuir malware a través de archivos PDFs:  “Los ataques se realizaron por medio de PDFs que actuaban como señuelo, redireccionando el tráfico de la URL de GCP a otra URL falsa, donde se alojaba una carga útil maligna. Este ataque dirigido es más efectivo que los ataques tradicionales porque la URL del host apunta hacia la URL que aloja el malware, vía Google App Engine, consiguiendo que la víctima crea que el archivo se está entregando desde una fuente de confianza como Google”, señala Ashwin Vamshi, Security Researcher de Netskope.

Nada es lo que parece

Para combatir este tipo de ataque, es recomendable seguir los siguientes puntos que te ayudarán a identificar  posibles campañas de phishing basadas en la nube:

  • Comprobar el dominio del enlace. Este conocimiento permitirá diferenciar entre sitios de phishing/malware bien elaborados y sitios oficiales.
  • Implementar una solución de visibilidad y control en tiempo real para supervisar las actividades de las cuentas en la nube permitidas y no permitidas.
  • Integrar una herramienta de detección de amenazas y malware para IaaS, SaaS, PaaS y Web con detección y corrección de amenazas en tiempo real de múltiples capas para evitar que una organización propague sin saberlo amenazas similares.
  • Realizar un seguimiento activo del uso de aplicaciones cloud no autorizadas y aplicar políticas de DLP para controlar los archivos y datos que entran y salen del entorno corporativo.
  • Advertir a los usuarios sobre la apertura de archivos adjuntos no confiables, independientemente de sus extensiones o nombres de archivo.
  • Recomendar a los usuarios que eviten ejecutar cualquier archivo a menos que estén muy seguros de que son benignos.
  • Desmarcar la opción “Recordar esta acción para este sitio para todos los documentos PDF”, incluso aunque el sitio parezca legítimo.
  • Pasar el ratón por encima de todos los hipervínculos para confirmarlos antes de hacer clic en el enlace.
  • Realizar un seguimiento activo de los enlaces URL añadidos a la lista “Siempre permitido” en el software del lector de PDF.
  • Mantener actualizados los sistemas y el antivirus con las últimas versiones y parches.

About Author

Desiree Rodriguez

Responsable de Globb Security France y España. Periodista, Comunicadora Audiovisual y editora. Antes de unirse a GlobbTV, desarrolló la mayor parte de su carrera profesional en el grupo editorial de Madiva. Twitter: @Drodriguezleal.

Deja un comentario