Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
1603
)
-
▼
marzo
(Total:
112
)
-
Un bot ataca a Microsoft y DataDog por mala config...
-
Google prepara Chrome contra hackers cuánticos: lo...
-
Intel presentaXeon 6+ Clearwater Forest con 288 E-...
-
Nuevo malware Dohdoor ataca escuelas y sector salu...
-
Los infostealers impulsan ataques masivos de fuerz...
-
Microsoft Highlight Reels: la NPU de tu consola o ...
-
JEDEC lanza UFS 5.0 y UFSHCI 5.0 para aumentar la ...
-
Vulnerabilidades críticas en Trend Micro Apex One ...
-
Llista IPTV con más de 39.000 canales de televisió...
-
Cuidado: están vendiendo portátiles con 1,2 TB de ...
-
Los procesadores móviles de Intel han logrado hast...
-
CPU a 40 °C gracias a un cubo de hielo perpetuo: e...
-
Configuraciones prácticas de Gmail
-
El Pixel 11 deja ver su Tensor G6 en pruebas
-
Gemini se actualiza: ya permite enviar hasta 10 im...
-
Disco de juego ultra raro destrozado por Aduanas d...
-
Linux Mint Xfce es una Distro ultraligera de Linux...
-
Vulnerabilidad OpenClaw de cero clics permite a si...
-
Microsoft prepara Copilot Canvas: la pizarra con I...
-
Team Mirai, el «partido de la IA» que quiere revol...
-
Microsoft Edge abrirá Copilot automáticamente al h...
-
China ya tiene su procesador fotónico LightGen, 10...
-
YouTube prueba IA en Shorts: te va a permitir tran...
-
Comando peform /report en Windows analiza porqué t...
-
Ataques con drones dañan centros de datos de AWS d...
-
Operación Filtración desmantela foro cibercriminal...
-
AMD lanza su Ryzen 5 5500X3D en China: la tecnolog...
-
EE.UU. usó supuestamente a Claude en ataques a Irá...
-
AMD presenta Ryzen AI 400 para escritorio con hast...
-
Trump ordena eliminar la IA de Anthropic de las ag...
-
Nuevo FRITZ!Box 6835 5G: Internet de alto rendimie...
-
Qualcomm FastConnect 8800 traerá el Wi-Fi 8 a los ...
-
Intel revela las especificaciones de sus Xeon 600 ...
-
Los drivers GeForce 595.71 WHQL introdujeron nuevo...
-
iPhone 17e: Apple apuesta sobre seguro
-
Oppo lanzará por primera vez en España su móvil má...
-
Así son las "autopistas" de los satélites que orbi...
-
Actores de amenazas despliegan 'AuraStealer' con 4...
-
Apple lanza el iPhone 17e, su móvil más barato
-
Apple anuncia el iPad Air con M4, más rápido y mej...
-
Living off the Land 2.0 en Linux: Persistencia par...
-
Actualización de seguridad de Android: parche para...
-
La memoria NAND ya es un 500% más cara: Phison com...
-
CISA alerta sobre el malware RESURGE que explota v...
-
Venden portátiles en Amazon que son un engaño: tie...
-
WiFi DensePose: ¿ver a través de las paredes con W...
-
No es de NVIDIA, ni AMD ni Intel: el primer chip d...
-
Botnet OCRFix usa ClickFix y EtherHiding para ocul...
-
Así le robaron a la policía surcoreana cuatro mill...
-
Intel presentará sus Core Ultra 5 250K Plus y Core...
-
Silicon Power y su nefasto RMA con la RAM: devuelv...
-
Vulnerabilidad en Chrome Gemini permite a atacante...
-
Conflicto cibernético en escalada mientras Irán se...
-
Drones atacan varios centros de datos de AWS en Me...
-
California introduce ley de verificación de edad p...
-
Corte de energía de AWS en Oriente Medio provoca g...
-
Heretic o cómo eliminar fácilmente la censura en u...
-
Honor Magic V6, así es el nuevo plegable más fino ...
-
El 6G será AI-native: NVIDIA y las telecos rediseñ...
-
Cambios drásticos en Steam: Windows 11 se hunde, W...
-
La máquina de guerra de EE.UU. se une a Linux y so...
-
Los sistemas de presión de neumáticos en Toyota, M...
-
Ataques a firewalls de SonicWall desde más de 4.00...
-
Grupo ruso APT28 explota vulnerabilidad 0-day en M...
-
Esquema de phishing GTFire abusa de servicios de G...
-
Exploit PoC publicado para escalada de privilegios...
-
Fallo UXSS en el navegador DuckDuckGo permite ejec...
-
Claude AI sufre caída global: errores elevados int...
-
Adiós a los ataques con enjambres de drones: la OT...
-
Linux atómico o inmutable: qué son, cómo funcionan...
-
Perplexity lanza Computer: una IA capaz de ejecuta...
-
Ingeniero de Microsoft desvela casi 30 años despué...
-
ChatGPT se acerca a 1.000 millones de usuarios act...
-
Amazon anuncia una nueva inversión de 18.000 de eu...
-
Desactivando app esencial AI Core de Android recu...
-
Decide comprar palés de productos devueltos de Ama...
-
El lanzamiento de la Nvidia GeForce3 hace 25 años ...
-
El ejército de EE.UU. derriba con láser un dron en...
-
Netflix tira la toalla y Paramount compra Warner p...
-
Qué es WinApp y cómo funciona la nueva herramienta...
-
Trump prohíbe la IA de Anthropic en agencias feder...
-
Myrient (preservación de videojuegos) cierra
-
ClawJacked: una web maliciosa puede secuestrar Ope...
-
Aplicación de oración pirateada usada como arma ci...
-
Alerta de Ciberseguridad: Claves de API de Google ...
-
NAS con puertos de red a 1GbE vs 2.5 GbE, ¿realmen...
-
Entusiasta hace funcionar una PC de escritorio con...
-
20 años del Mobile World Congress en Barcelona: as...
-
No tires a la basura tu impresora antigua todavía:...
-
Vulnerabilidad de Telnet de 27 años permite a atac...
-
NVIDIA va de récord en récord: 68 mil millones en ...
-
HP: la memoria y el almacenamiento ya representan ...
-
Vulnerabilidad crítica de día cero en Cisco SD-WAN...
-
Dos Ryzen 9 9950X pasan a mejor vida en la misma A...
-
El conector Thermal Grizzly Wireview GPU Pro tampo...
-
No te quedarás sin cobertura: Starlink llevará el ...
-
SURXRAT: ataque de RAT en Android roba control tot...
-
Europa desarrolla un chip inspirado en el cerebro ...
-
Perplexity Computer y el salto a la IA operativa
-
Pueden abusar de la función Terminal en vivo de Co...
-
-
▼
marzo
(Total:
112
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que... -
Un ingeniero de Microsoft revela que MS-DOS podía generar gráficos desde hace casi 30 años, pero la compañía optó por una interfaz mediocr... -
Fortinet alerta sobre la explotación activa de la vulnerabilidad 0-Day FG-IR-26-060 , que afecta a FortiCloud SSO y permite a atacantes obt...
Esquema de phishing GTFire abusa de servicios de Google para robar credenciales
Una nueva campaña de phishing llamada GTFire está abusando de dos de los servicios más confiables de Google —Firebase y Google Translate— para robar credenciales de inicio de sesión de víctimas en todo el mundo. Lo que hace peligrosa esta campaña es su capacidad para ocultar actividad maliciosa detrás de dominios legítimos propiedad de Google, permitiendo que los enlaces de phishing pasen a través de filtros de correo electrónico y web.
Una nueva campaña de phishing llamada GTFire está abusando de dos de los servicios más confiables de Google — Firebase y Google Translate — para robar credenciales de inicio de sesión de víctimas en todo el mundo.
Lo que hace peligrosa esta campaña es su capacidad para ocultar actividad maliciosa detrás de dominios legítimos propiedad de Google, permitiendo que los enlaces de phishing pasen a través de filtros de correo electrónico y puertas de seguridad web sin activar alertas.
Las víctimas llegan a páginas de inicio de sesión que imitan marcas convincentemente, envían sus credenciales y luego son redirigidas silenciosamente al sitio web legítimo de la marca objetivo, sin darse cuenta de que sus datos ya fueron robados.
La escala de GTFire es impactante. La exposición de servidores de comando y control (C2) controlados por los atacantes reveló miles de credenciales robadas vinculadas a más de 1,000 organizaciones en más de 100 países y en más de 200 industrias.
México encabeza la lista de víctimas con 385 casos confirmados — principalmente en manufactura, educación y gobierno —, seguido de Estados Unidos (101), España (67), India (54) y Argentina (50).
.webp)
Analistas de Group-IB identificaron la campaña como una operación de recolección de credenciales bien organizada y a gran escala.
Los investigadores señalaron que los atacantes reutilizan plantillas de phishing en múltiples objetivos con cambios mínimos, aplicando un flujo de recolección de credenciales de varios pasos mientras gestionan servidores centralizados que almacenan los datos robados organizados por fecha, idioma y servicio objetivo.
.webp)
Se identificaron más de 120 dominios únicos de phishing, todos siguiendo patrones de nomenclatura de alto volumen diseñados para permitir una rotación rápida de la infraestructura.
El alcance de GTFire claramente va más allá de una sola región. Los actores de amenazas adaptan cuidadosamente cada página de phishing para mostrar la identidad visual de una marca objetivo, haciendo que los portales de inicio de sesión falsos sean indistinguibles de los reales.
Después de que una víctima envía sus credenciales, la redirección fluida al sitio web legítimo de la marca retrasa cualquier conciencia de que ha ocurrido un ataque, dando a los atacantes más tiempo antes de ser detectados.
GTFire revela una realidad preocupante para los defensores: la infraestructura confiable puede ser armada con muy poco esfuerzo.
Las comprobaciones tradicionales de reputación de URL y las listas negras estáticas tienen dificultades para detectar enlaces de phishing alojados en dominios propiedad de Google. El abuso de marcas sigue siendo uno de los vectores de ingeniería social más potentes, y GTFire muestra lo eficientemente que puede desplegarse a nivel global.
Cómo GTFire encadena servicios de Google para robar credenciales
El ataque comienza cuando una víctima recibe un mensaje de phishing que contiene un enlace de Google Translate (translate.goog).
Esta URL actúa como un relé invisible, redirigiendo la solicitud a través de la infraestructura proxy de traducción de Google antes de llevar a la víctima a una página de phishing alojada en Firebase.
Dado que el enlace pertenece a un dominio propiedad de Google, las puertas de seguridad de correo electrónico y los filtros web rara vez lo interceptan.
.webp)
Firebase aloja las páginas de phishing finales, con los atacantes registrando un gran número de subdominios *.web.app con nombres aleatorios y rotándolos frecuentemente para superar las listas negras.
Cada página carga dinámicamente logotipos y campos de inicio de sesión específicos de la marca utilizando un marco de phishing reutilizable con solo cambios cosméticos menores por objetivo.
Cuando una víctima envía su nombre de usuario y contraseña, la página muestra un falso error de "contraseña incorrecta" y le pide que lo intente de nuevo. Ambas entradas son capturadas silenciosamente en segundo plano.
.webp)
Las credenciales robadas se envían a servidores C2 controlados por los atacantes mediante solicitudes HTTP GET, con las contraseñas codificadas en Base64 junto con metadatos que incluyen el país de la víctima y el idioma del navegador.
El backend C2 funciona con instancias de LiteSpeed Web Server que utilizan scripts de recolección All-in-1.php basados en PHP — herramientas disponibles comercialmente que reducen la sobrecarga operativa y aceleran la implementación.
Las organizaciones deberían implementar autenticación multifactor resistente al phishing y capacitar a los empleados para reconocer técnicas de phishing basadas en Google.
Los equipos de seguridad deberían crear reglas de detección que marquen patrones de URL que combinen translate.goog con dominios *.web.app y monitorear plataformas en la nube confiables en busca de suplantación de marcas.
Compartir indicadores de compromiso — incluyendo IOCs de red como jnhwzs.fyi y gnpnia.lat, y scripts de recolección basados en archivos All-in-1.php — con las comunidades CERT sigue siendo crítico para contener esta campaña.
Fuentes:
https://cybersecuritynews.com/gtfire-phishing-scheme-abuses-google-services/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.