Las plataformas de phishing como servicio son cada vez más complejas y evasivas

Un nuevo informe sobre las herramientas y técnicas utilizadas en los ataques destaca cómo las plataformas de phishing como servicio (PhaaS) están evolucionando rápidamente para ser más peligrosas y evasivas. En los dos primeros meses de 2025, los sistemas de detección de Barracuda Networks bloquearon más de un millón de ataques de phishing por parte de destacadas plataformas PhaaS. Muchas se dirigen a usuarios de plataformas populares basadas en la nube, como Microsoft 365.

 La mayoría de los incidentes detectados (89%), involucraron la sofisticada Tycoon 2fA, seguida de EvilProxy, que representó el 8% de los ataques, mientras que Sneaky 2FA estuvo detrás del 3% de los incidentes.  Las tres plataformas tienen herramientas diferentes y distintivas, con algunos elementos comunes como el uso del servicio de mensajería Telegram para llevar a cabo los ataques.

 

Rápida innovación de las plataformas PhaaS

Los analistas de amenazas de Barracuda informaron sobre Tycoon 2FA en enero de 2025. Desde entonces, la plataforma ha seguido desarrollando y mejorando sus tácticas evasivas, haciéndose aún más difícil de detectar. Entre otras mejoras, el script de código para el robo y la filtración de credenciales ahora está cifrado mediante un cifrado de sustitución y, en ocasiones, un carácter invisible (conocido como Hangul Filler). El nuevo y mejorado script puede identificar el tipo de navegador de la víctima para ayudar a personalizar el ataque e incluye enlaces al servicio Telegram que pueden utilizarse para enviar en secreto los datos robados a los atacantes.

Los ataques EvilProxy tampoco se quedan atrás. Su plataforma ha evolucionado hasta conseguir que puedan implementarse con unos conocimientos técnicos mínimos. Se dirige a servicios muy utilizados como Microsoft 365, Google y otras plataformas basadas en la nube, engañando a las víctimas para que introduzcan sus credenciales en páginas de inicio de sesión aparentemente legítimas. El código fuente utilizado por EvilProxy para su página web de phishing es muy similar al de la página de inicio de sesión original de Microsoft. Esto hace que sea difícil distinguir el sitio malicioso del sitio web legítimo original.

El tercer PhaaS más destacado a principios de 2025 fue Sneaky 2FA, la plataforma para ataques AiTM dirigidos a cuentas de Microsoft 365 en busca de credenciales y acceso. Al igual de Tycoon 2FA, Sneaky 2FA aprovecha la plataforma de mensajería Telegram, y comprueba que el usuario en un objetivo legítimo y no una herramienta de seguridad, un bot u otro adversario – si este es el caso, la “víctima” es redirigida a un sitio inofensivo en otro lugar – antes de rellenar previamente la página de phishing falsa con la dirección de correo electrónico de la víctima abusando de la funcionalidad “autograb” de Microsoft 365.