Se ha descubierto una nueva plataforma de phishing llamada Mamba 2FA que está ganando terreno entre los ciberdelincuentes. Este servicio se especializa en atacar cuentas de Microsoft 365 utilizando ataques tipo Adversary-in-the-Middle (AiTM), con páginas de inicio de sesión súper realistas que engañan fácilmente a las víctimas.
Lo preocupante es que Mamba 2FA permite a los atacantes capturar los tokens de autenticación de las víctimas, lo que significa que pueden saltarse las protecciones de autenticación multifactor (MFA) sin problema y acceder a las cuentas como si nada.
Y lo peor: este servicio está disponible para cualquiera que esté dispuesto a pagar 250 dólares al mes, lo que lo hace bastante accesible y popular entre los ciberdelincuentes, posicionándose como una de las plataformas de phishing más utilizadas en este momento.
Conoce más sobre: ¿Qué es el Phishing as a Service (PaaS)?
Mamba 2FA fue detectado por primera vez en junio de 2024, aunque otros informes señalan que su actividad se ha estado monitoreando desde mayo de ese mismo año.
Sin embargo, hay evidencia que sugiere que Mamba 2FA ha estado activo desde mucho antes, apoyando campañas de phishing desde noviembre de 2023. Inicialmente, este kit se ofrecía en ICQ, y más tarde migró a Telegram para su venta.
Después de que se publicara un informe sobre una campaña respaldada por Mamba 2FA, los operadores detrás de este kit de phishing realizaron varios ajustes en su infraestructura y técnicas para volverse más sigilosos y alargar la duración de sus ataques.
Por ejemplo, a partir de octubre, Mamba 2FA comenzó a utilizar servidores proxy de IPRoyal, un proveedor comercial, para ocultar las direcciones IP de los servidores de retransmisión en los registros de autenticación. Antes de esto, los servidores de retransmisión se conectaban directamente a los servidores de Microsoft Entra ID, lo que hacía que las direcciones IP fueran visibles y más fáciles de bloquear.
Además, los dominios utilizados en las URL de phishing ahora cambian constantemente, rotando semanalmente para evitar ser detectados y bloqueados por las soluciones de seguridad.
Otra mejora fue en los archivos HTML adjuntos en los correos de phishing. Estos archivos ahora incluyen contenido inofensivo para camuflar un pequeño fragmento de JavaScript malicioso que activa el ataque, lo que dificulta aún más que las herramientas de seguridad los detecten.
Mamba 2FA está hecho a medida para atacar a usuarios de Microsoft 365, ya sean cuentas empresariales o personales. Al igual que otras plataformas de phishing como servicio (PhaaS), utiliza servidores proxy para lanzar ataques de Adversary-in-the-Middle (AiTM), permitiendo a los ciberdelincuentes capturar códigos de acceso de un solo uso y cookies de autenticación.
El truco está en el uso de la biblioteca Socket.IO, que permite que la página de phishing se comunique con los servidores de retransmisión. Estos servidores luego interactúan con los sistemas de Microsoft, usando los datos robados de la víctima para acceder a sus cuentas.
Mamba 2FA ofrece un catálogo de plantillas de phishing que imitan diversos servicios de Microsoft 365, como OneDrive, SharePoint Online, páginas de inicio de sesión de Microsoft y hasta falsas notificaciones de correo de voz que redirigen a las víctimas a una página de inicio de sesión falsa.
Para las cuentas empresariales, el kit de phishing va un paso más allá, copiando automáticamente el estilo visual de la página de inicio de sesión de la empresa objetivo, con logotipos e imágenes personalizados, lo que hace que el engaño sea aún más creíble.
Plantillas de phishing utilizadas en ataques Mamba 2FA
Podría interesarte leer: Seguridad Avanzada en Microsoft 365 con TecnetProtect
Las credenciales y cookies de autenticación robadas se envían directamente al atacante a través de un bot de Telegram, lo que les permite entrar a la cuenta de la víctima casi de inmediato.
Mamba 2FA también es lo suficientemente inteligente como para detectar si está siendo analizado en un entorno de sandbox. Si lo detecta, redirige al usuario a una página 404 de Google para evitar que lo estudien. En resumen, esta plataforma es una amenaza seria para las empresas, ya que permite que incluso atacantes con poca experiencia realicen ataques de phishing muy efectivos.
El surgimiento de Mamba demuestra que los cibercriminales siempre están un paso adelante, buscando nuevas maneras de evadir incluso las medidas de seguridad más avanzadas. El hecho de que puedan saltarse la autenticación de dos factores en cuentas de Microsoft 365 nos deja claro que no podemos confiarnos.
Para estar un paso adelante de estos ataques, es esencial implementar llaves de seguridad de hardware, autenticación basada en certificados, geobloqueo, listas de IP permitidas, dispositivos autorizados y reducir la vida útil de los tokens de sesión.
Para añadir una capa adicional de seguridad, una solución como TecnetProtect puede ser crucial. No solo ofrece ciberseguridad avanzada y backups para proteger las cuentas de Microsoft 365, sino que también cuenta con características específicas de protección de email. Esto significa que bloquea el phishing antes de que llegue a la bandeja de entrada, deteniendo las amenazas antes de que puedan afectar a tus trabajadores o comprometer tus datos. Con TecnetProtect, estás mejor preparado para hacer frente a estas amenazas y mantener tus cuentas y datos seguros.