Investigadores de Check Point Research y Otorio han descubierto una campaña de ‘phishing’ a gran escala a través de la cual los cibercriminales han dejado de forma accidental credenciales robadas a disposición del público a través de una búsqueda en Google.

La campaña de ‘phishing’ comenzó en agosto de 2020 mediante el envío de correos electrónicos que se hacían pasar por notificaciones de escaneado de Xerox. En los ‘emails’ se instaba a los usuarios a que abrieran un archivo malicioso adjunto en formato HTML que evadía el filtro de protección avanzada de amenazas (ATP) de Microsoft Office 365.

Una vez abrían el documento, las víctimas eran redirigidas a una página de inicio de sesión. De esta manera, los ciberdelincuentes pudieron sustraer las credenciales de más de mil víctimas.

Una vez extraídos los datos, estos se enviaron y almacenaron en un archivo de texto alojado en servidores de WordPress controlados por los ciberdelincuentes. Sin embargo, y debido a un error en la cadena de ataque, los atacantes que estaban detrás de esta campaña de ‘phishing’ terminaron exponiendo estos datos en Internet, ya que la carpeta donde estaban almacenados fue indexada por Google.

Una vez indexados los documentos, la información pasó automáticamente a estar visible para todo el público. Para ello, tan sólo hay que realizar una búsqueda en Internet.

Como indica el director técnico de Check Point para España y Portugal, Eusebio Nieva, «la estrategia de los cibercriminales era almacenar la información robada en una página web específica que ellos mismos crearon para, tras engañar a sus víctimas, recabar todos los datos almacenados en estos servidores».

Sin embargo, «lo que no pensaron es que si ellos eran capaces de rastrear la web en busca de esta información, Google también podía. Esta fue claramente una operación de seguridad fallida para los cibercriminales», concluye el experto.