Los kits de phishing evolucionan para saltarse la autenticación multifactor

  • Endpoint

Autenticacion

Estos kits utilizan proxy inverso transparente que presenta el sitio web real a la víctima para desplegar ataques de tipo “man-in-the-middle” y capturar no sólo los nombres de usuario y las contraseñas en tiempo real, sino también las cookies. Estas amenazas representan un punto ciego en el sector.

Recomendados: 

Lee IT Digital Security (Febrero de 2022) para PC y Mac Leer

Identificación de ataques web Leer

La autenticación multifactor (MFA) es una práctica de ciberseguridad cada vez más extendida. Según el informe State of the Auth Report de Duo, un 78% de sus encuestados había utilizado autentificación 2FA o MFA en 2021, frente a un 28% en 2017. El problema es que mientras las empresas trabajaban para que la MFA se generalice, los ciberdelincuentes también han estado buscando maneras de eludirla, lanzando kits de phishing que se saltan esta capa de seguridad.

Los kits de phishing son un software desarrollado para ayudar a los ciberdelincuentes a conseguir credenciales y poder sacar provecho de ellas rápidamente. Normalmente se instalan en un servidor del atacante o en un servidor externo comprometido, y pueden comprarse fácilmente por menos de lo que cuesta un café. Los investigadores de Proofpoint han observado múltiples MFA phishing kits, algunos simples y funcionales de código abierto, y otros tan sofisticados que tienen numerosas capas de ofuscación y módulos incorporados para robar nombres de usuario, contraseñas, tokens MFA, números de la seguridad social y números de tarjetas de crédito.

Concretamente, ha detectado la aparición de un nuevo tipo de kit que no se basa en la recreación de un sitio web, sino que mediante un proxy inverso transparente presenta el sitio web real a la víctima, lo que mejora en gran medida la ilusión de que una persona está haciendo un inicio de sesión seguro. Otra ventaja del proxy inverso es que permite hacer un ataque Man-in-the-Middle (MitM) a una sesión de navegador y capturar no sólo los nombres de usuario y las contraseñas en tiempo real, sino también las cookies. En concreto, han observado tres kits de este tipo emergentes: Modlishka, Muraena/Necrobrowser y Evilginx2.

Estos kits Man-in-the-Middle representan un punto ciego en el sector. Investigadores de la Stony Brook University y Palo Alto Networks comprobaron como de 1.200 sitios MitM solo un 43,7% de los dominios y un 18,9% de las direcciones IP aparecían en listas de bloqueo populares como VirusTotal.

Con la situación actual, en la que tantas personas trabajan desde casa, muchas empresas van a empezar a exigir la MFA, y Proofpoint ve probable que cada vez más ciberdelincuentes recurran a estas soluciones sencillas y efectivas, lo que solo va a complicar el trabajo de los profesionales de ciberseguridad. Las organizaciones necesitan prepararse para hacer frente a puntos ciegos como estos antes de que puedan evolucionar en nuevas direcciones inesperadas.