Esta técnica explota el manejo de los subdominios de manera que podría permitir a los estafadores realizar campañas de phishing por correo electrónico sin ser detectados.
Google App Engine es una plataforma de servicio basada en la nube para desarrollar y alojar aplicaciones web en los servidores de Google. Hasta ahora las facilidades que ofrecía permitía a los atacantes desplegar sitios web maliciosos, aunque caían con relativa facilidad. Sin embargo; los ciberdelincuentes podrían empezar a aprovechar un nuevo vector de ataque mediante el enrutado de los subdominios.
El investigador Marcel Afrahim ha publicado un artículo en el que revisa cómo Google App Engine maneja un subdominio, de forma que se podría aprovechar por parte de un atacante, al mismo tiempo que permanece indetectable.
Para dar un poco de contexto, la estructura de una URL en un nuevo proyecto desplegado en Google App Engine consta de un identificador de proyecto y un identificador de región.
https://PROJECT_ID.REGION_ID.r.appspot.com.
Sin embargo; App Engine permite apuntar a una versión concreta de la aplicación o del servicio, añadiendo prefijos al PROJECT_ID especificando dichos parámetros y utilizando el separador -dot-. Un esquema de esta URL sería la siguiente.
https[://]VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com.
Es en esta estructura de URL donde se halla el quid de la cuestión, ya que en el caso de que exista algún valor incorrecto en la formación de la URL, Afrahim afirma lo siguiente:
Si una petición coincide con el patrón PROJECT_ID.REGION_ID.r.appspot.com, pero incluye un servicio, versión o instancia que no exista, esa petición se envía al servicio por defecto, que es el hostname de la aplicación
Se concluye que Google App Engine no responde con un HTTP 404 indicando que el recurso no se ha encontrado, sino que redirige a la página por defecto, lo que se conoce como soft routing.
Aprovechando esta característica se puede generar una gran cantidad de permutaciones de subdominios inexistentes que en esencia redirigen a la misma aplicación. A esto se le añade que cualquier aplicación web alojada en App Engine cuenta con un certificado SSL firmado por Google Trust Services, de manera que un navegador web no alertaría a un usuario final.
Algunos investigadores ya se han hecho eco de campañas de suplantación de Microsoft utilizando esta técnica.
No es la primera ocasión en la que se aprovecha una característica de este estilo, ya que en septiembre de 2019 el propio Marcel Afrahim publicó un artículo similar, en esa ocasión sobre cómo el malware Astaroth aprovechaba los Cloudfare Workers para evitar ser detectado.
Más información:
Google App Engine feature abused to create unlimited phishing pages https://www.bleepingcomputer.com/news/security/google-app-engine-feature-abused-to-create-unlimited-phishing-pages/
Deja una respuesta