El Phishing es un tipo de amenaza que afecta a muchos usuarios en la red. Como sabemos, es un método que utilizan los piratas informáticos para robar todo tipo de información, contraseñas o credenciales. Básicamente se hacen pasar por algo legítimo pero en realidad es una estafa. En este artículo nos hacemos eco de una nueva técnica que utilizan para crear sitios Phishing ilimitados al utilizar una plataforma de Google.
Logran crear sitios Phishing ilimitados
Esta nueva técnica, que ha sido recientemente descubierta por un investigador, muestra cómo se puede abusar de los dominios de App Engine de Google para entregar Phishing y malware sin que los principales productos de seguridad empresarial los detecten. Una manera más de saltarse la protección y lograr sus objetivos.
Hay que indicar que Google App Engine es una plataforma de servicios que está basada en la nube para desarrollar y alojar aplicaciones web en los servidores de Google. El Phishing, como hemos visto en otras ocasiones, se aprovecha también de la nube para infectar. Sin embargo en esta ocasión es diferente en la manera en la que utilizan esta plataforma para generar dominios y las rutas.
Como hemos indicado permiten crear sitios Phishing ilimitados. Esto lo consiguen al crear una aplicación maliciosa a la que se le asigna un subdominio. Posteriormente allí alojan páginas Phishing. También pueden usar esa aplicación como un servidor de comando y control y entregar la carga útil de malware.
Por su estructura, un sitio web puede ser bloqueado fácilmente. Es decir, un profesional de la ciberseguridad podría bloquear el tráfico desde y hacia una aplicación en concreto simplemente bloqueando sus solicitudes. Pero esto se vuelve más complicado en el caso de App Engine de Google. La estructura del dominio de esta herramienta es diferente. Un subdominio, en este caso, no solo representa una aplicación, sino que representa la versión de una aplicación, el nombre del servicio, el ID del proyecto y los campos de ID de la región.
Además, el punto más interesante a tener en cuenta aquí es que, si alguno de esos campos es incorrecto, Google App Engine no mostrará una página 404 No encontrado, sino que mostrará la página «predeterminada» de la aplicación (un concepto conocido como enrutamiento suave).
Según indica el investigador de seguridad, las solicitudes son recibidas por cualquier versión que esté configurada para el tráfico en el servicio de destino. Si el servicio al que se dirige no existe, la solicitud se enruta.
Añade que si una solicitud coincide con parte del nombre de host, pero incluye un servicio, versión o nombre de instancia que no existe, la solicitud se enruta al servicio predeterminado, que es esencialmente el nombre de host de la aplicación. Esto quiere decir que hay muchas opciones de subdominios para llegar a la aplicación maliciosa.
