Campaña de phishing en Microsoft 365 tiene como objetivo al gobierno mexicano
Postado por Redacción Portal ERP México em 29/11/2024 em IT SecurityLas páginas de phishing están diseñadas para replicar con alta precisión las interfaces de inicio de sesión de organizaciones objetivo, donde, entre sus principales propósitos, se encuentran varias dependencias del gobierno de México.
Víctor Ruiz, fundador de SILIKN y Ethical Hacker. Foto: cortesía. Portal ERP México.
Recientes campañas maliciosas de correo electrónico han sido identificadas utilizando un kit de phishing como servicio (PhaaS) conocido como Rockstar 2FA, diseñado específicamente para robar credenciales de cuentas de Microsoft 365.
Esta campaña emplea un ataque AitM [adversario en el medio], una forma avanzada de ataque Man-in-the-Middle (MitM) donde un atacante intercepta y manipula comunicaciones entre dos partes sin que estas lo detecten. A diferencia del MitM tradicional, el AitM puede superar protecciones como la autenticación multifactor (MFA), ya que el atacante actúa como un proxy entre el usuario y el servidor, capturando credenciales, tokens de acceso o datos sensibles en tiempo real. Esto permite al atacante suplantar la identidad de la víctima, incluso en sesiones consideradas seguras, para llevar a cabo fraudes, robos de información o accesos no autorizados.
Te puede interesar: APT chinas, un desafío considerable para las organizaciones en México
Este kit de phishing, al igual que versiones anteriores, se promociona en plataformas como ICQ, Telegram y Mail.ru, ofreciendo un modelo de suscripción. Este enfoque facilita que incluso ciberdelincuentes con poca o nula experiencia técnica puedan lanzar campañas a gran escala.
Rockstar 2FA se promociona destacando capacidades como la evasión de la autenticación de dos factores (2FA), la captura de cookies relacionadas con 2FA, protección contra bots, páginas de inicio de sesión que replican servicios populares, enlaces totalmente indetectables (FUD) e integración con bots de Telegram. Además, ofrece un panel de administración intuitivo que permite a los usuarios monitorear sus campañas de phishing, generar enlaces y archivos adjuntos, y personalizar los temas de las páginas utilizadas en los ataques.
Estas campañas de correo electrónico emplean múltiples vectores de acceso inicial, como enlaces URL, códigos QR y documentos adjuntos, que se integran en mensajes enviados desde cuentas comprometidas o herramientas de spam. Los correos incluyen diversas plantillas de señuelo, como notificaciones de intercambio de archivos o solicitudes de firmas electrónicas.
Para evadir la detección de filtros de correo no deseado, se aprovechan redireccionadores legítimos, como enlaces acortados, redirecciones abiertas o servicios de protección y reescritura de URL. Además, el kit incorpora controles antibot mediante Cloudflare Turnstile, dificultando el análisis automatizado de las páginas de phishing AitM.
La plataforma aprovecha servicios legítimos como Atlassian Confluence, Google Docs Viewer, LiveAgent, Microsoft OneDrive, OneNote y Dynamics 365 Customer Voice para alojar enlaces de phishing, explotando la confianza asociada a estas herramientas.
Las páginas de phishing están diseñadas para replicar con alta precisión las interfaces de inicio de sesión de organizaciones objetivo, donde, entre sus principales propósitos, se encuentran varias dependencias del gobierno de México, que figuran entre las más vulnerables a este tipo de suplantación, como el Instituto Mexicano del Seguro Social (IMSS), el Servicio de Administración Tributaria (SAT), Gobierno del Estado de Yucatán y Tabasco, la Unidad De Especialidades Médicas del Estado de Baja California, el Organismo Operador Municipal de Agua Potable, Alcantarillado y Saneamiento de Cajeme del Estado de Sonora, y más.
Estas páginas emplean múltiples niveles de ofuscación en el código HTML para dificultar su detección. Los datos proporcionados por las víctimas se envían directamente al servidor AiTM, donde las credenciales exfiltradas se utilizan para obtener la cookie de sesión de la cuenta comprometida.
Para protegerse contra amenazas como Rockstar 2FA, es fundamental implementar medidas avanzadas de seguridad, como autenticación multifactor robusta basada en hardware o biometría que no dependa únicamente de códigos SMS o cookies. También es clave educar a los usuarios para identificar intentos de phishing y verificar cuidadosamente las URL antes de ingresar credenciales. Las organizaciones deben emplear soluciones de detección y respuesta contra amenazas (XDR), monitoreo continuo de accesos sospechosos, y herramientas que inspeccionen enlaces en tiempo real para identificar redirecciones maliciosas, además de limitar los permisos de acceso a cuentas sensibles.