Investigadores de ciberseguridad advierten sobre campañas de correo
electrónico maliciosas que aprovechan un kit de herramientas de phishing como
servicio (PhaaS) llamado Rockstar 2FA con el objetivo de robar credenciales de cuentas de
Microsoft 365.
«Esta campaña emplea un ataque AitM (Adversario en el Medio], que permite a
los atacantes interceptar las credenciales de usuario y las cookies de
sesión, lo que significa que incluso los usuarios con autenticación
multifactor (MFA) habilitada pueden seguir siendo vulnerables»,
dijeron los investigadores
de Trustwave Diana Solomon y John Kevin Adriano.
Se considera que Rockstar 2FA es una versión actualizada del kit de phishing
DadSec
(también conocido como Phoenix). Microsoft está rastreando a los
desarrolladores y distribuidores de la plataforma Dadsec PhaaS bajo el nombre
de
Storm-1575.
Al igual que sus predecesores, el kit de phishing se anuncia a través de
servicios como ICQ, Telegram y Mail.ru bajo un modelo de suscripción de U$S
200 por dos semanas (o U$S 350 por un mes), lo que permite a los
cibercriminales con poca o ninguna experiencia técnica montar campañas a gran
escala.
Algunas de las características promocionadas de Rockstar 2FA incluyen la
omisión de la autenticación de dos factores (2FA), la recolección de cookies
de 2FA, la protección antibots, temas de página de inicio de sesión que imitan
los servicios populares, enlaces totalmente indetectables (FUD) e integración
de bots de Telegram.
También afirma tener un «panel de administración moderno y fácil de usar» que
permite a los clientes rastrear el estado de sus campañas de phishing, generar
URL y archivos adjuntos e incluso personalizar los temas que se aplican a los
enlaces creados.
Las campañas de correo electrónico detectadas por Trustwave aprovechan
diversos vectores de acceso inicial, como URL, códigos QR y archivos adjuntos
de documentos, que se incluyen en los mensajes enviados desde cuentas
comprometidas o herramientas de spam. Los correos electrónicos utilizan varias
plantillas de señuelo que van desde notificaciones de intercambio de archivos
hasta solicitudes de firmas electrónicas.
Además de utilizar
redireccionadores de enlaces legítimos
(por ejemplo, URL acortadas, redirecciones abiertas, servicios de protección
de URL o servicios de reescritura de URL) como mecanismo para evitar la
detección antispam, el kit incorpora controles antibot que utilizan Cloudflare
Turnstile en un intento de disuadir el análisis automatizado de las páginas de
phishing de AitM.
Trustwave afirmó
que observó que la plataforma utiliza servicios legítimos como Atlassian
Confluence, Google Docs Viewer, LiveAgent y Microsoft OneDrive, OneNote y
Dynamics 365 Customer Voice para alojar los enlaces de phishing, lo que pone
de relieve que los actores de amenazas se están aprovechando de la confianza
que conllevan dichas plataformas.
«El diseño de la página de phishing se parece mucho a la página de inicio
de sesión de la marca que se está imitando a pesar de las numerosas
ofuscaciones aplicadas al código HTML», dijeron los investigadores.
«Todos los datos proporcionados por el usuario en la página de phishing se
envían inmediatamente al servidor AiTM. Las credenciales exfiltradas se
utilizan luego para recuperar la cookie de sesión de la cuenta de
destino».
La revelación se produce cuando
Malwarebytes detalló
una campaña de phishing denominada Beluga que emplea archivos adjuntos .HTM
para engañar a los destinatarios de correo electrónico para que ingresen sus
credenciales de Microsoft OneDrive en un formulario de inicio de sesión falso,
que luego se exfiltran a un bot de Telegram.
También se ha descubierto que los enlaces de phishing y los anuncios engañosos
de juegos de apuestas en las redes sociales promueven aplicaciones de
adware como MobiDash, así como aplicaciones financieras fraudulentas que roban datos personales y
dinero bajo el pretexto de prometer ganancias rápidas.
«Los juegos de apuestas anunciados se presentan como oportunidades
legítimas de ganar dinero, pero están cuidadosamente diseñados para engañar
a los usuarios para que depositen fondos, que tal vez nunca vuelvan a
ver»,
dijo Mahmoud Mosaad, analista de Group-IB CERT.
«A través de estas aplicaciones y sitios web fraudulentos, los estafadores
roban información personal y financiera de los usuarios durante el proceso
de registro. Las víctimas pueden sufrir pérdidas financieras significativas,
y algunas informan de pérdidas de más de 10.000 dólares estadounidenses».
Fuente: THN