Los investigadores de ciberseguridad han detallado un nuevo kit de phishing «adversario-en-el-medio» (AitM) que es capaz de acceder a cuentas de Microsoft 365 con el objetivo de robar credenciales y códigos de autenticación de dos factores (2FA) desde al menos octubre de 2024.
La empresa francesa de ciberseguridad Sekoia, que detectó el kit de phishing en diciembre, lo ha bautizado como Sneaky 2FA. Hasta este mes, se han identificado casi 100 dominios que albergan páginas de phishing con Sneaky 2FA, lo que sugiere una adopción moderada por parte de los actores de amenazas.
«Este kit se vende como phishing como servicio (PhaaS) por el servicio de cibercrimen ‘Sneaky Log’, que opera a través de un bot con todas las funciones en Telegram», dijo la compañía en un análisis. «Según se informa, los clientes reciben acceso a una versión ofuscada con licencia del código fuente y lo implementan de forma independiente».
Se han observado campañas de phishing que envían correos electrónicos relacionados con recibos de pago para incitar a los destinatarios a abrir documentos PDF falsos que contienen un código QR que, al escanearlo, los redirige a páginas Sneaky 2FA.
Sekoia dijo que las páginas de phishing están alojadas en infraestructuras comprometidas, en su mayoría sitios web de WordPress y otros dominios controlados por el atacante. Las páginas de autenticación falsas están diseñadas para completar automáticamente la dirección de correo electrónico de la víctima para aumentar su legitimidad.
El kit también cuenta con varias medidas anti-bots y anti-análisis, empleando técnicas como filtrado de tráfico y desafíos de Cloudflare Turnstile para garantizar que solo las víctimas que cumplan con ciertos criterios sean dirigidas a las páginas de recolección de credenciales. Además, ejecuta una serie de comprobaciones para detectar y resistir los intentos de análisis mediante herramientas para desarrolladores de navegadores web.
Un aspecto destacable de PhaaS es que los visitantes del sitio cuya dirección IP proviene de un centro de datos, un proveedor de nube, un bot, un proxy o una VPN son dirigidos a una página de Wikipedia relacionada con Microsoft mediante el servicio de redirección href[.]li. Esto ha llevado a TRAC Labs a darle el nombre de WikiKit .
«El kit de phishing Sneaky 2FA utiliza varias imágenes borrosas como fondo para sus páginas falsas de autenticación de Microsoft», explicó Sekoia. «Al utilizar capturas de pantalla de interfaces legítimas de Microsoft, esta táctica pretende engañar a los usuarios para que se autentiquen y obtengan acceso al contenido borroso».
Una investigación posterior reveló que el kit de phishing se basa en una comprobación con un servidor central, probablemente el operador, que se asegura de que la suscripción esté activa. Esto indica que solo los clientes con una clave de licencia válida pueden usar Sneaky 2FA para realizar campañas de phishing. El kit se anuncia por $200 por mes.
Pero eso no es todo. También se han descubierto referencias en el código fuente que apuntan a un sindicato de phishing llamado W3LL Store , que Group-IB ya había descubierto en septiembre de 2023 como responsable de un kit de phishing llamado W3LL Panel y de varias herramientas para realizar ataques de vulneración de correo electrónico empresarial (BEC).
Esto, junto con las similitudes en la implementación del relé AitM, también ha planteado la posibilidad de que Sneaky 2FA pueda estar basado en el Panel W3LL. Este último también opera bajo un modelo de licencia similar que requiere verificaciones periódicas con un servidor central.
En un giro interesante, algunos de los dominios Sneaky 2FA estaban previamente asociados con kits de phishing AitM conocidos, como Evilginx2 y Greatness , una indicación de que al menos algunos ciberdelincuentes han migrado al nuevo servicio.
«El kit de phishing utiliza diferentes cadenas de agente de usuario codificadas de forma rígida para las solicitudes HTTP, según el paso del flujo de autenticación», afirmaron los investigadores de Sekoia. «Este comportamiento es poco frecuente en la autenticación de usuarios legítima, ya que un usuario tendría que realizar pasos sucesivos de autenticación desde diferentes navegadores web».
«Si bien las transiciones de usuario-agente ocurren ocasionalmente en situaciones legítimas (por ejemplo, autenticación iniciada en aplicaciones de escritorio que lanzan un navegador web o WebView para manejar MFA), la secuencia específica de usuarios-agentes utilizada por Sneaky 2FA no corresponde a un escenario realista y ofrece una detección de alta fidelidad del kit».
Fuente y redacción: thehackernews.com
