Nuevo Kit de Phishing Omite MFA en Cuentas Gmail y Microsoft 365

La seguridad en línea se ha convertido en una preocupación creciente a medida que los métodos empleados por los ciberdelincuentes se vuelven cada vez más sofisticados. Uno de los últimos avances en el arsenal de estas amenazas digitales es un kit de phishing diseñado específicamente para eludir la autenticación de dos factores (MFA), apuntando directamente a usuarios de servicios ampliamente utilizados como Gmail y Microsoft 365. Este desarrollo subraya la importancia de estar al tanto de las tácticas de phishing más recientes y de comprender cómo proteger adecuadamente nuestras cuentas en línea.

Nuevo Kit de Phishing: ¿Cómo Funciona?

La creciente tendencia entre los ciberdelincuentes es la utilización de una innovadora plataforma de phishing como servicio (PhaaS) denominada 'Tycoon 2FA', enfocada en atacar cuentas de Microsoft 365 y Gmail, logrando sortear la autenticación de dos factores (2FA).

Descubierta por analistas de Sekoia en octubre de 2023 durante un monitoreo de amenazas rutinario, Tycoon 2FA ha estado operativa desde agosto de 2023, momento en el que fue promocionada por el grupo Saad Tycoon en canales de Telegram privados.

Esta herramienta PhaaS guarda parecidos con otras plataformas de tipo adversario en el medio (AitM), como Dadsec OTT, insinuando la posibilidad de que haya reutilización de código o colaboraciones entre sus desarrolladores.

Para 2024, Tycoon 2FA ha evolucionado hacia una versión aún más discreta, demostrando un compromiso persistente con la refinación de sus capacidades. A la fecha, este servicio gestiona 1100 dominios y ha sido vinculado a miles de incidentes de phishing.

Sitio web de Tycoon 2FA

Conoce más sobre:  Descubriendo los canales en Telegram de la Dark Web

Ataques Tycoon 2FA Desglosados

Los ataques realizados mediante Tycoon 2FA se llevan a cabo a través de un meticuloso proceso multi-etapa. En este, el agresor captura cookies de sesión aprovechando un servidor proxy inverso que aloja una página de phishing. Esta página intercepta las credenciales introducidas por la víctima, retransmitiéndolas simultáneamente al servicio auténtico.

"Cuando el usuario supera el desafío MFA y logra autenticarse, el servidor intermediario se apodera de las cookies de sesión", indica Sekoia. Esto permite al atacante duplicar la sesión del usuario, sorteando así los controles de autenticación multifactor (MFA).

Los ataques constan de siete fases clave:

1. Fase 0: Los atacantes esparcen enlaces perjudiciales mediante correos electrónicos que incluyen URL o códigos QR, seduciendo a las víctimas hacia las páginas de phishing.
   
   
2. Fase 1: Un filtro de seguridad (Cloudflare Turnstile) elimina bots, asegurando que solo interacciones humanas procedan al sitio engañoso.
   
   
3. Fase 2: Scripts ocultos aprovechan el correo electrónico de la víctima extraído de la URL para afinar el engaño.
   
   
4. Fase 3: Los usuarios son redirigidos, de forma imperceptible, hacia otra sección del sitio de phishing, acercándolos a la falsa página de inicio de sesión.
   
   
5. Fase 4: Se presenta una imitación de la página de inicio de sesión de Microsoft para sustraer credenciales, utilizando WebSockets para el desvío de datos.
   
   
6. Fase 5: El kit simula un desafío de 2FA, capturando el token 2FA o la respuesta para evadir las protecciones.
   
   
7. Fase 6: Al final, las víctimas son llevadas a una página que aparenta ser legítima, disimulando el éxito del engaño.

Descripción general del ataque Tycoon 2FA (Sekoia)

Te podrá interesar:  8 Indicios de Correos Electrónicos Falsos: ¿Cómo Identificarlos?

Desarrollo y Alcance de Tycoon 2FA

La empresa de ciberseguridad ha destacado que la versión más reciente del kit de phishing Tycoon 2FA, lanzada este año, introduce una serie de mejoras sustanciales que potencian tanto las tácticas de phishing como las estrategias de evasión.

Las mejoras fundamentales abarcan actualizaciones en el JavaScript y el HTML, ajustes en la secuencia de cargas de recursos, y un filtrado avanzado para impedir el acceso de bots y herramientas de análisis.

Una innovación notable es el retraso en la carga de elementos maliciosos hasta que se completa el desafío Cloudflare Turnstile, junto con el uso de nombres de URL generados de manera pseudoaleatoria para disimular sus maniobras.

Asimismo, se ha perfeccionado la identificación de tráfico proveniente de la red Tor o IPs asociadas a centros de datos, descartando el acceso basado en ciertos patrones de agentes de usuario. Respecto al volumen de actividad, Sekoia señala que la expansión de Tycoon 2FA es considerable, evidenciado por su popularidad creciente entre la comunidad cibercriminal.

La cuenta de Bitcoin asociada a los operadores de Tycoon 2FA ha acumulado más de 1.800 transacciones desde octubre de 2019, observándose un aumento significativo desde agosto de 2023, coincidiendo con el debut del kit.

De estas, más de 530 transacciones superaron los 120 dólares, el coste para activar un enlace de phishing durante 10 días. Para mediados de marzo de 2024, los ingresos acumulados por la billetera de los cibercriminales alcanzaron los 394.015 dólares en criptomoneda.

Tycoon 2FA representa solo una de las más recientes adiciones al ámbito PhaaS, que ya brinda a los actores de amenazas una variedad de herramientas. Entre otras plataformas destacadas capaces de sortear la autenticación de dos factores se encuentran LabHost, Greatness y Robin Banks.

Te podrá interesar:  Detección de Ataques de Phishing con Wazuh

¿Cómo Protegerse?

1. Educación y Concienciación: El primer paso para protegerse es estar informado sobre cómo operan estos ataques. Conocer los signos de un intento de phishing puede ayudar a evitarlos.
   
   
2. Verificación de URL: Siempre verifica la URL de la página en la que ingresas tus datos. Las páginas falsas a menudo tienen pequeñas diferencias en la dirección web que pueden pasar desapercibidas a primera vista.
   
   
3. Uso de Autenticadores de Aplicaciones: En lugar de usar SMS o llamadas telefónicas para la MFA, considera el uso de aplicaciones de autenticación que generan códigos de seguridad. Estos son más difíciles de interceptar para los atacantes.
   
   
4. Monitoreo Activo de la Cuenta: Mantén un ojo en la actividad de tu cuenta. Muchos servicios ofrecen registros de actividad donde puedes ver inicios de sesión y otras acciones realizadas en tu cuenta.
   
   
5. Soluciones de Seguridad Avanzadas: Utiliza un SOC como Servicio para la protección contra el phishing y otras amenazas cibernéticas. La tecnología de detección de comportamiento anómalo puede ser especialmente útil.
   
   

Conclusión

El nuevo kit de phishing que elude la MFA y apunta a cuentas de Microsoft 365 y Gmail es un recordatorio de que ninguna medida de seguridad es infalible. Sin embargo, con la educación adecuada, herramientas de seguridad avanzadas y un enfoque proactivo para monitorear la actividad de la cuenta, es posible protegerse contra estos sofisticados ataques de phishing. Mantenerse informado sobre las últimas tácticas utilizadas por los atacantes y adoptar prácticas de seguridad robustas es clave para asegurar nuestra información personal y corporativa en el mundo digital.