El phishing entra en una nueva era

El último “Radar de Amenazas por Correo Electrónico” realizado por Barracuda Networks revela el desarrollo de nuevas técnicas de phishing que van mucho más allá de la “simple” aportación de la inteligencia artificial generativa. Entre las nuevas técnicas, la compañía destaca una campaña de estenografía en la que se esconde malware, “invisible para la mayoría de las soluciones de seguridad”, en imágenes PNG.

Se trata de un caso interesante, pero menos habitual. Más preocupantes son las modificaciones introducidas en kits de phishing, utilizados por numerosos atacantes en modalidad de Phishing as a Service. Entre ellos, el informe de Barracuda se centra en dos: uno emergente, Cephas, y otro muy conocido y popular, Tycoon 2FA, “que sigue siendo una grave amenaza para las empresas a pesar de llevar en circulación desde agosto de 2023”.

Tycoon 2FA intenta robar los datos de inicio de sesión de Microsoft 365, además de las de cuentas de Google Workspace. Una de las razones del éxito y la longevidad de este kit es que en “cada nueva versión incluye pequeñas pero ingeniosas actualizaciones que le ayudan a evitar la detección”. Una de las últimas capacidades que ha introducido es la creación de CAPTCHA muy realista.

En el caso de Cephas, surgido en agosto de 2024, llama la atención su capacidad para introducir caracteres invisibles en su código fuente, “una técnica de ofuscación poco habitual que complica la labor de los escáneres antiphishing y las reglas basadas en firmas”. Para combatirla, Barracuda recomienda que todos los usuarios tengan autenticación multifactor, además de optar por métodos como llaves de seguridad físicas.