Los perpetradores detrás de los ataques de phishing de BazaCall han refinado su estrategia al emplear Google Forms para conferir credibilidad al esquema, según revela un informe de una firma de ciberseguridad. Esto implica una mejora en la autenticidad percibida de los correos electrónicos maliciosos iniciales, parte del modus operandi de BazaCall (también conocido como BazarCall). Estos mensajes simulan notificaciones auténticas de suscripciones, presionando a los destinatarios a contactar un servicio de asistencia para cancelar la suscripción o enfrentar posibles cargos.

Los atacantes, mediante la creación de una urgencia ficticia, convencen a las víctimas por teléfono para otorgarles acceso remoto a sus dispositivos usando software de escritorio remoto. Esto les permite mantener presencia en los sistemas bajo la apariencia de ayudar a cancelar la suscripción. Los servicios más utilizados como señuelo incluyen Netflix, Hulu, Disney+, Masterclass, McAfee, Norton y GeekSquad.

En la versión más reciente detectada por la firma de ciberseguridad, los atacantes utilizan un formulario de Google Forms para recopilar información relacionada con la supuesta suscripción.

Un detalle clave es que al habilitar la opción de recepción de respuestas, el objetivo recibe un formulario completado que el atacante ha diseñado para parecerse a una confirmación de pago del software Norton Antivirus.

La elección de Google Forms muestra astucia, ya que las respuestas se envían desde la dirección "forms-receipts-noreply@google[.]com", un dominio confiable que puede eludir las defensas de correo electrónico seguras. Esta estrategia se ha observado previamente en una campaña de phishing con Google Forms detectada por Cisco Talos el mes pasado.

Los formularios de Google suelen utilizar URL generadas dinámicamente, lo que dificulta su detección mediante medidas de seguridad convencionales basadas en análisis estáticos y detección por patrones conocidos para identificar amenazas.