Whisper 2FA, un nuevo kit de phishing como servicio

Barracuda Networks ha bautizado como Whisper 2FA un nuevo kit de phishing como servicio. Lo identificó en el mes de julio y lo lleva rastreando desde entonces. El kit, “emergente, sigiloso y persistente”, evoluciona muy rápido. Detectado ya en casi un millón de ataques en campañas de phishing a gran escala, ya se ha colado en el tercer puesto de PhaaS más común, solo por detrás de Tycoon y EvilProxy.

Una de las características de Whisper 2FA que destaca la compañía es el “bucle de robo de credenciales”: al parecer puede repetir el proceso contra la misma cuenta hasta que se asegura de que tiene un token funcional de autenticación MFA. Además, “los datos robados se codifican y cifran rápidamente” para evitar su detección si se está supervisando la red.

También destacan las tácticas para evitar la detección y el análisis. Entre ellas, hay “múltiples capas de ofuscación, como la codificación y el cifrado del código de ataque, la colocación de trampas para las herramientas de análisis y el bloqueo de los atajos de teclado comunes utilizados para la inspección”. A todo ello se suma la rapidez con que hacen evolucionar el kit, cada vez más complejo técnicamente y con mejores estrategias de ofuscación.

Saravanan Mohankumar, director del equipo de análisis de amenazas de Barracuda, considera que “las características y funcionalidades de Whisper 2FA muestran cómo los kits de phishing han evolucionado desde simples ladrones de credenciales hasta sofisticadas plataformas de ataque con servicios completos. Al combinar la interceptación de MFA en tiempo real, múltiples capas de ofuscación y técnicas anti análisis, Whisper 2FA dificulta la detección del fraude por parte de los usuarios y los equipos de seguridad”.