Modlishka, una herramienta de proxy inverso que omite la autenticación 2FA

  • Endpoint

Creado sin ningún propósito malicioso, Modlishka es un proxy inverso modificado para manejar el tráfico entre páginas de inicio de sesión legítimas y ataques de phishing, que brinda a los actores de amenazas la posibilidad de recopilar tokens 2FA y crear sesiones de usuarios autenticados.

También puedes leer...

Cómo evaluar las opciones de SD-WAN

La Seguridad es Infinity

Gestión de cuentas con privilegios para Dummies

Cómo combatir las amenazas cifradas

Cómo vencer al malware evasivo

Una nueva herramienta de proxy inverso llamada Modlishka puede automatizar fácilmente los ataques de phishing y omitir la autenticación de dos factores (2FA), y está disponible para descargar en GitHub. El investigador de seguridad polaco Piotr Duszynski lanzó la herramienta apenas unas semanas después del nuevo año, fruto de un proyecto que comenzó en 2018 con el objetivo de escribir una herramienta fácil de usar que eliminaría la necesidad de preparar plantillas de páginas web estáticas para cada campaña de phishing que estaba realizando, y ciertamente lo logró.

Modlishka es un proxy inverso modificado para manejar el tráfico entre páginas de inicio de sesión legítimas y ataques de phishing. Mientras que las víctimas reciben contenido auténtico, todo el tráfico se enruta a través del servidor Modlishka, lo que brinda a los actores de amenazas la posibilidad de recopilar tokens 2FA y crear sesiones de usuarios autenticados. Como resultado, los atacantes no necesitan implementar ningún sitio de plantillas clonadas; si tienen un certificado TLS válido, los usuarios generalmente no son conscientes de ello.

Esta nueva herramienta es problemática por varias razones. Primero, porque es automatizada y ligera, y hay muy pocas posibilidades de que se detecte. Según Duszynski, mientras que algunas defensas, como el código JavaScript ofuscado o los atributos de etiqueta de seguridad HTML, requieren ajustes manuales, ambos son totalmente compatibles con la herramienta y también se mejorarán en las futuras versiones.

Otra gran preocupación es que Duszynski lanzó su código como fuente abierta en GitHub, sin ningún uso malicioso de la herramienta. Sin embargo, dado el aumento en los ataques de autenticación de dos factores patrocinados por el estado, es probable que Modlishka sea popular entre los actores de amenazas. Mientras Duszynski se defiende diciendo que "sin una prueba de concepto que realmente lo pruebe, el riesgo se trata como teórico y no se toman medidas reales para abordarlo adecuadamente".