Los ciberdelincuentes no descansan, y la prueba más reciente de ello es "Sneaky 2FA", un nuevo kit de phishing que pone en jaque incluso a la autenticación de dos factores (2FA). Descubierto por la empresa francesa de ciberseguridad Sekoia, este kit utiliza una técnica conocida como «adversario-en-el-medio» (AitM) para robar credenciales y códigos de 2FA, logrando acceder a cuentas de Microsoft 365 de manera alarmante desde octubre de 2024. Hasta ahora, se han identificado casi 100 dominios que alojan páginas falsas utilizando este método, lo que indica que su adopción por parte de actores maliciosos va en aumento.
El kit de phishing "Sneaky 2FA" está llevando las tácticas de cibercrimen a un nivel completamente nuevo. Según el análisis de Sekoia, este kit se distribuye como un servicio de phishing (conocido como PhaaS) bajo el nombre de "Sneaky Log". Lo interesante (y preocupante) es que los delincuentes no necesitan ser expertos en programación para usarlo: simplemente adquieren una versión ofuscada y con licencia del código fuente, la implementan y listo, tienen todo lo necesario para operar sus campañas.
Entre las tácticas más comunes de estas campañas está el envío de correos electrónicos diseñados para parecer notificaciones legítimas, como recibos de pago. Estos mensajes incluyen documentos PDF falsos con códigos QR que, al ser escaneados, llevan a las víctimas directamente a páginas controladas por "Sneaky 2FA". Y no estamos hablando de cualquier página falsa: estas están alojadas en sitios legítimos comprometidos, como WordPress, lo que las hace aún más creíbles. Además, las páginas están configuradas para rellenar automáticamente la dirección de correo electrónico de la víctima, lo que aumenta la sensación de autenticidad.
Pero eso no es todo. Este kit incluye sofisticadas medidas de defensa contra bots y herramientas de análisis, lo que dificulta su detección. Utiliza cosas como filtrado de tráfico y retos de Cloudflare (Turnstile) para asegurarse de que solo las víctimas reales lleguen a las páginas de phishing. Incluso ejecuta comprobaciones avanzadas para evitar ser analizado por desarrolladores que investigan ataques o herramientas de ciberseguridad.
Un detalle curioso (y hasta cierto punto ingenioso) es cómo maneja a los visitantes "indeseados". Si detecta que la IP de un visitante proviene de un bot, un proxy, una VPN o un proveedor de nube, en lugar de mostrar la página de phishing, redirige al usuario a una página de Wikipedia relacionada con Microsoft. Este movimiento, bautizado como "WikiKit" por TRAC Labs, es una forma astuta de evitar levantar sospechas mientras protege la infraestructura del ataque.
En pocas palabras, "Sneaky 2FA" no solo es efectivo, sino que también está diseñado para ser altamente adaptable y difícil de rastrear. Si algo nos queda claro, es que los delincuentes están invirtiendo mucho en hacer que sus operaciones sean más sigilosas y sofisticadas. Esto nos obliga a estar más atentos y a reforzar nuestras medidas de seguridad en línea.
Podría interesarte leer: ¿Qué hacer si recibes un correo electrónico fraudulento?
El kit de phishing "Sneaky 2FA" demuestra un alto nivel de sofisticación cuando se trata de engañar a los usuarios. Este kit emplea imágenes borrosas como fondo en sus páginas falsas de inicio de sesión de Microsoft, utilizando capturas reales de interfaces legítimas. Este enfoque tiene como objetivo convencer a las víctimas de que deben autenticarse para "desbloquear" el contenido desenfocado, aumentando así la credibilidad del ataque.
Una característica destacada de este kit es que no está disponible para cualquiera. Funciona bajo un modelo de suscripción que exige que los usuarios cuenten con una licencia activa para operar el servicio. La verificación de las licencias se gestiona a través de un servidor central, asegurando que solo aquellos con una clave válida puedan utilizar "Sneaky 2FA". Este servicio tiene un costo aproximado de $200 al mes, lo que no solo refleja la estructura comercial detrás de este tipo de cibercrimen, sino que también evidencia el creciente nivel de profesionalización en el ecosistema de phishing.
Además, el código fuente de "Sneaky 2FA" contiene referencias a un grupo conocido como W3LL Store, que previamente fue identificado como responsable del kit de phishing W3LL Panel en 2023. Estas similitudes han llevado a los investigadores a plantear la hipótesis de que "Sneaky 2FA" podría estar basado en la misma infraestructura, dado que ambos kits comparten características similares en la implementación del relé "Adversario en el Medio" (AitM) y operan bajo un modelo de licencia centralizado.
Por otro lado, se ha descubierto que varios dominios asociados con "Sneaky 2FA" tienen vínculos previos con otros kits de phishing avanzados, como Evilginx2 y Greatness, lo que sugiere que algunos ciberdelincuentes están migrando hacia esta nueva herramienta. Esto refuerza la idea de que "Sneaky 2FA" se está posicionando como una opción preferida para la ejecución de ataques avanzados y altamente personalizados.
Desde el punto de vista técnico, "Sneaky 2FA" incorpora cadenas de agentes de usuario (user agents) codificadas específicamente para las solicitudes HTTP en función de cada paso del flujo de autenticación. Según los analistas, este comportamiento es inusual en los procesos legítimos de autenticación, ya que implicaría que un usuario tendría que pasar por varias plataformas o navegadores diferentes para completar la verificación, algo poco común.
Si bien este tipo de transición puede ocurrir en casos legítimos (como cuando una app de escritorio lanza un navegador o una WebView para gestionar la autenticación multifactor), las secuencias específicas de agentes de usuario empleadas por "Sneaky 2FA" son lo suficientemente anómalas como para ser utilizadas como un indicador confiable para identificar y rastrear este kit en particular.
En diciembre también se informó sobre un ataque dirigido a los usuarios de Microsoft que busca evadir la autenticación de dos factores (2FA). Este ataque, conocido como FlowerStorm 2FA, utiliza un kit de phishing como servicio (PhaaS) llamado FlowerStorm y comparte algunas similitudes con otro kit conocido, Rockstar 2FA. Según los investigadores, podría existir una conexión entre ambos, ya que FlowerStorm ganó notoriedad poco después de un fallo técnico que afectó a Rockstar 2FA el pasado 11 de noviembre de 2024.
Este fallo impidió que las páginas de phishing de Rockstar redirigieran correctamente a las víctimas, lo que podría haber llevado a los ciberdelincuentes a adoptar FlowerStorm como una alternativa más confiable. Aunque esta relación aún no ha sido confirmada, lo cierto es que Rockstar 2FA ha quedado en el olvido mientras FlowerStorm sigue ganando popularidad.
FlowerStorm se basa en campañas de phishing distribuidas a través de Telegram, una plataforma de mensajería ampliamente utilizada por grupos de cibercrimen. Este kit tiene como objetivo principal robar credenciales de inicio de sesión y tokens de autenticación multifactor (MFA) mediante solicitudes HTTP POST enviadas a servidores backend controlados por los atacantes.
Lo que hace especialmente peligroso a FlowerStorm es su uso de páginas de phishing alojadas en dominios con extensiones comunes como .com, .de, .moscow y .ru. Además, se ha identificado que algunas de estas páginas utilizan subdominios generados manualmente en Cloudflare, que están conectados a servidores backend separados para facilitar la exfiltración de datos robados.
Otra técnica destacada de FlowerStorm es la generación de URL únicas para redirigir a las víctimas a sitios diseñados para el robo de credenciales. Este método no solo complica la detección de las campañas, sino que también asegura que cada ataque esté personalizado y sea mucho más difícil de rastrear.
Conoce más sobre: FlowerStorm: Nueva Amenaza de Phishing contra Usuarios de Microsoft
Hoy en día, los ataques de phishing son más sofisticados, como hemos visto con amenazas como "Sneaky 2FA" y "FlowerStorm 2FA". Estas herramientas han demostrado que incluso medidas de seguridad avanzadas, como la autenticación de dos factores, pueden ser burladas si no estamos preparados. Por eso, ya no basta con confiar solo en contraseñas fuertes o en métodos tradicionales de protección. Es momento de ir un paso más allá para proteger nuestras cuentas y datos.
En TecnetOne ofrecemos nuestro TecnetProtect, una solución diseñada para cubrir esos puntos débiles que los ciberdelincuentes intentan explotar. Esta solución ofrece protección avanzada para correo electrónico y Microsoft 365, dos de los principales objetivos de ataques como los que hemos mencionado. Además, incluye funciones de respaldo y recuperación, lo que significa que incluso si algo sale mal, tus datos estarán seguros y podrás recuperarlos sin problemas.
La clave para enfrentar estas amenazas es combinar herramientas confiables como TecnetProtect con buenas prácticas de seguridad. Educar a tu equipo, ser cuidadoso con los correos y enlaces que recibes, y adoptar medidas proactivas puede marcar la diferencia. No dejes tu seguridad en segundo plano: ahora es el momento de reforzarla y mantenerte un paso adelante de los atacantes.