Nuevo kit de phishing que omite seguridad multifactorial apunta a Microsoft 365 y Gmail
En esta ocasión, los cibercriminales han estado empleando cada vez más una nueva plataforma de phishing como servicio o PhaaS, llamada “Tycoon 2FA”, la cual sirve parra apuntar a cuentas de Microsoft 365 y Gmail, buscando eludir la protección de autenticación de 2 factores, conocida como 2FA.
La nueva plataforma de phishing, Tycoon 2FA, ha sido descubierta por analistas de ciberseguridad a finales del año pasado. Esto durante una búsqueda de amenazas rutinaria, pero ha estado activo desde meses antes, cuando el grupo de ciberdelincuentes Saad Tycoon lo ofreció mediante canales privados de Telegram.
El kit de PhaaS comparte semejanzas con diversas plataformas de adversario en el medio (AitM), como el llamado Dadsec OTT, sugiriendo que es posible una reutilización de código o una colaboración entre desarrolladores.
Del mismo modo, en este mismo año, el kit Tycoon 2FA ha lanzado una versión con mayor sigilo, indicando un esfuerzo continuo por mejorar esta plataforma de phishing. En la actualidad, este servicio ha aprovechado más de 1100 dominios y se ha observado en miles de ataques de phishing.
Los ataques con este kit implican un proceso de varios eventos, en el que los actores maliciosos roban cookies de sesión. Esto mediante el empleo de un servidor proxy inverso que aloja la página web de phishing. A su vez, esta página intercepta la entrada del usuario víctima y la retransmite al servicio legítimo.
Una vez que el usuario víctima completa el desafío de la autenticación multifactor o MFA y dicha autenticación es exitosa, el servidor intermedio ha capturado las cookies de inicio de sesión, explican los especialistas. De esta forma, los hackers maliciosos pueden reproducir la sesión de un usuario y burlar los mecanismos de autenticación MFA.
Si quieres tener un sistema de seguridad de primer orden en tu organización, no olvides contactar con los expertos de TIC Defense. Nuestro equipo de expertos te van a proporcionar todas las soluciones, productos y herramientas de última tecnología, necesarias para optimizar los niveles de ciberseguridad de tu organización.
En una etapa cero, los ciberdelincuentes se encargan de distribuir enlaces maliciosos mediante correos electrónicos, con URL o códigos QR indexados, los cuales engañan a las víctimas para que puedan acceder a páginas de phishing.
La etapa 1 se encarga de desafiar la seguridad, infiltrando los bots. Esto permite que solo las interacciones humanas puedan acceder al sitio de phishing engañoso. Por otro lado, en la segunda etapa, los scripts en segundo plano se encargan de extraer el correo electrónico de la víctima, a través de la URL, proceden a personalizar el ataque.
En la etapa 3, los usuarios son redirigidos de forma silenciosa a otra parte de la web de phishing, acercando a dichos usuarios a una falsa página de inicio de sesión. En la siguiente etapa, se presenta una página de inicio de sesión falsa de Microsoft para robar las credenciales, con el empleo de WebSockets enfocados en la filtración de datos.
Luego, en la quinta etapa, el kit se limita a un “desafío” 2FA, en donde intercepta el token 2FA o la respuesta, con el objetivo de burlar las medidas de ciberseguridad. Por último, las víctimas son dirigidas a una página que parece legítima, generando un ataque de phishing exitoso.
