Clientes HTTP, herramienta usada para ciberataques de apropiación de cuentas

El 78% de usuarios de Microsoft 365 experimentó al menos un intento de toma de control de cuentas con clientes HTTP, según datos de Proofpoint.

Foto: Proofpoint. Portal ERP México.

Los clientes HTTP son aplicaciones de software utilizadas para enviar peticiones HTTP y recibir respuestas HTTP de servidores web. Estas herramientas permiten a los usuarios crear solicitudes con varios métodos HTTP (GET, POST, PUT, DELETE), personalizar cabeceras, incluir payloads e inspeccionar respuestas del servidor. Proofpoint ha observado una tendencia creciente de atacantes que reutilizan HTTP legítimas, obtenidas de repositorios públicos como GitHub, para comprometer entornos Microsoft 365 con ataques de adversario en el medio (AitM) y fuerza bruta, dando lugar a numerosos incidentes de toma de control de cuentas.

Desde 2018 se han estado empleando ampliamente los clientes HTTP para apropiación de cuentas. Según los investigadores de amenazas de Proofpoint, a principios de 2024 dominaron las variantes OkHttp, pero en marzo de 2024 ganó tracción una gama más amplia de clientes HTTP. En términos de escala, en la segunda mitad del año pasado, el 78% de usuarios de Microsoft 365 experimentó al menos un intento de toma de control de cuentas con un cliente HTTP, un aumento del 7% respecto a los seis meses anteriores. Estos ataques alcanzaron su punto máximo en mayo, aprovechando millones de IP secuestradas para atacar cuentas cloud.

Te recomendamos: Infostealers: el riesgo silencioso para la seguridad de su información

De hecho, la mayoría de estos ataques basados en HTTP son intentos de fuerza bruta con bajas tasas de éxito. No obstante, Proofpoint ha investigado amenazas eficaces como una campaña con el cliente HTTP Axios, que combina ataques de precisión con técnicas AitM y logró una tasa promedio mensual de éxito del 38%, superando medidas como la autenticación multifactor. Axios consigue interceptar, transformar y cancelar el tráfico. Cuando se combina con plataformas AiTM permite robar credenciales y tokens para acceso no autorizado a cuentas.

“Hasta ahora, esta campaña se ha dirigido principalmente a ejecutivos, responsables financieros, gestores de cuentas y personal operativo de diversos sectores como el transporte, la construcción, las finanzas, la informática y la sanidad. Se ha dado prioridad a los objetivos de alto valor con acceso a datos confidenciales o recursos financieros”, explican los investigadores de amenazas de Proofpoint. En total, desde junio hasta finales de noviembre ha afectado a más del 51% de las organizaciones objetivo, comprometiendo el 43% de cuentas de usuarios.

Las herramientas de ataque para apropiaciones de cuentas han evolucionado mucho, y las de cliente HTTP son muy eficaces. En Proofpoint prevén que los ciberdelincuentes sigan adaptando sus estrategias para aprovechar estas tecnologías a fin de mejorar su eficacia, minimizar la exposición y eludir la detección.