por Contenidos
imágenes falsas
Microsoft presentó el martes un software perfilado para la venta en foros en línea que facilita a los delincuentes la distribución de campañas de phishing que comprometen con éxito las cuentas, incluso cuando están protegidas por la forma más común de autenticación multifactor.
El kit de phishing es el motor que impulsa más de 1 millón de correos electrónicos maliciosos todos los días, dijeron los investigadores del equipo de Microsoft Threat Intelligence. El software, que se vende al por menor por $300 para una versión estándar y $1,000 para usuarios VIP, ofrece una variedad de funciones avanzadas para simplificar la implementación de campañas de phishing y aumentar las posibilidades de eludir las defensas anti-phishing.
Una de las características más destacadas es la capacidad integrada de omitir algunas formas de autenticación de múltiples factores. También conocida como MFA, autenticación de dos factores o 2FA, esta protección requiere que los titulares de cuentas demuestren su identidad no solo con una contraseña, sino también usando algo que solo ellos tienen (como una clave de seguridad o una aplicación de autenticación) o algo que son solo ellos (como una huella dactilar o un escaneo facial). MFA se ha convertido en una defensa importante contra la apropiación de cuentas porque robar una contraseña por sí solo no es suficiente para que un atacante obtenga el control.
Talón de Aquiles de MFA: TOTP
La efectividad de MFA no ha pasado desapercibida para los phishers. Varias campañas que han surgido en los últimos meses han resaltado la vulnerabilidad de los sistemas MFA que usan TOTP, lo que acorta las contraseñas de un solo uso basadas en el tiempo generadas por las aplicaciones de autenticación. Una campaña descubierta por Microsoft se dirigió a más de 10.000 organizaciones en el espacio de 10 meses. El otro pirateó con éxito la red de la empresa de seguridad Twilio. Al igual que el kit de phishing que Microsoft describió el martes, las dos campañas antes mencionadas utilizaron una técnica conocida como AitM, abreviatura de adversario en el medio. Funciona insertando un sitio de phishing entre el usuario objetivo y el sitio al que el usuario intenta acceder. Cuando el usuario ingresa la contraseña en el sitio falso, el sitio falso la transmite al sitio real en tiempo real. Si el sitio real responde con un aviso de TOTP, el sitio falso recibe el aviso y lo devuelve al objetivo, nuevamente en tiempo real. Cuando el objetivo ingresa el TOTP en el sitio falso, el sitio falso lo envía al sitio real.
microsoft
Para garantizar que el TOTP se ingrese dentro del límite de tiempo (generalmente alrededor de 30 segundos), los phishers usan bots basados en Telegram u otros mensajeros en tiempo real que ingresan automáticamente las credenciales rápidamente. Una vez que se completa el proceso, el sitio real envía una cookie de autenticación al sitio falso. Con eso, los phishers tienen todo lo que necesitan para apoderarse de la cuenta.
En mayo pasado, un grupo criminal rastreado por Microsoft como DEV-1101 comenzó a anunciar un kit de phishing que derrota no solo el MFA basado en contraseña de un solo uso, sino también otras defensas automatizadas ampliamente utilizadas. Una característica inserta un CAPTCHA en el proceso para garantizar que los navegadores humanos puedan acceder a la última página de phishing, pero las defensas automatizadas no pueden. Otra función redirige brevemente el navegador del objetivo desde el enlace inicial incluido en el correo electrónico de phishing a un sitio inofensivo antes de llegar al sitio de phishing. La redirección ayuda a vencer las listas de bloqueo de URL maliciosas conocidas.
Los anuncios que comenzaron a aparecer en mayo pasado describían el kit como una aplicación de phishing escrita en NodeJS que ofrece la funcionalidad de proxy inverso PHP para eludir MFA y CAPTCHA, y redirecciones para eludir otras defensas. Los anuncios promocionan otras funciones, como la configuración automática y una variedad de plantillas preinstaladas para imitar servicios como Microsoft Office o Outlook.
“Estos atributos hacen que el kit sea atractivo para muchos jugadores diferentes que lo han usado continuamente desde que estuvo disponible en mayo de 2022”, escribieron los investigadores de Microsoft. “Los actores que usan este kit tienen diferentes motivaciones y objetivos y podrían dirigirse a cualquier industria o sector”.
La publicación continuó con una lista de varias medidas que los clientes pueden usar para contrarrestar las capacidades de evasión del kit, incluido Windows Defender y las soluciones antiphishing. Desafortunadamente, la publicación pasó por alto la medida más efectiva, que es MFA basada en el estándar de la industria conocido como FIDO2. Hasta el momento, no se conocen ataques de phishing de credenciales que derroten a FIDO2, lo que lo convierte en una de las barreras más efectivas para la apropiación de cuentas.
Para obtener más información sobre MFA compatible con FIDO2, consulte la cobertura anterior aquí, aquí y aquí.
El ataque de phishing que violó la red de Twilio funcionó porque uno de los empleados objetivo insertó un TOTP generado por un autenticador en el sitio de inicio de sesión falso del atacante. La misma campaña fracasó contra la red de entrega de contenido Cloudflare porque la empresa usó MFA basado en FIDO2.
