Los ataques de phishing son amenazas cibernéticas sigilosas en las que los actores de amenazas se hacen pasar por organizaciones acreditadas para engañar a las personas para que divulguen información confidencial (como contraseñas o información financiera).
Este tipo de ataque se lleva a cabo a través de correos electrónicos y mensajes que crean una sensación de urgencia.
No sólo eso, sino que todas estas estafas a menudo dirigen a las víctimas a “sitios web maliciosos” o “les solicitan que descarguen archivos adjuntos dañinos”.
Los investigadores de ciberseguridad de Sekoia descubrieron recientemente que el kit de herramientas Mamba explota activamente la autenticación multifactor en ataques de phishing avanzados.
En octubre de 2024, investigadores de ciberseguridad descubrieron una sofisticada campaña de phishing llamada “Mamba 2FA”.
Esta campaña de phishing se dirige a los usuarios de Microsoft 365 a través de un sofisticado “archivo adjunto HTML” que crea una réplica convincente de una “página de inicio de sesión de Microsoft”.
Analice enlaces sospechosos utilizando la nueva herramienta de navegación segura de ANY.RUN: pruébela gratis
Este kit de herramientas de phishing emplea la tecnología 'AiTM' y aprovecha la biblioteca JavaScript 'Socket(.)IO' para establecer una 'conexión WebSocket en tiempo real' con servidores backend, lo que le permite eludir las protecciones tradicionales de MFA.
La infraestructura de phishing opera a través de un “sistema de dos niveles” con URL que siguen un patrón específico (https://{domain}/{m,n,o}/?{Base64 string}).
Servidor de retransmisión de dominio de enlace
Este kit admite cuatro ataques de phishing diferentes: “OneDrive (o365_#one)”, “Inicio de sesión genérico de Microsoft (o365#nom)”, “SharePoint Online Secure Links (o365#sp)” y “Notificaciones de correo de voz (o365) .” Admite plantillas de página. #_voz). ”
Está disponible como una “plataforma PhaaS” a través de Telegram por “250 dólares por suscripción de 30 días”. Por lo tanto, esta suscripción permite a los clientes generar “enlaces de phishing” y “archivos adjuntos HTML” personalizados a través de un bot dedicado.
Arquitectura del kit de phishing Mamba 2FA (Fuente: Sekoia)
Según el informe de Sekoia, los archivos adjuntos HTML son particularmente sofisticados y utilizan “CSS” para ocultar contenido inofensivo, al tiempo que contienen “código JavaScript” ofuscado que redirige a las víctimas a páginas de phishing, lo que lo hace más difícil de detectar.
El servicio mantiene un grupo compartido de servidores y nombres de dominio y, desde su primera aparición en ICQ en noviembre de 2023, su versión actual muestra la evolución hacia una forma sofisticada.
La plataforma de phishing Mamba 2FA ofrece las siguientes características:
Admite MFA sin resistencia al phishing. Se integra con Entra ID, AD FS, SSO de terceros y cuentas de Microsoft. Refleje dinámicamente la marca de inicio de sesión personalizada de la empresa. Envíe instantáneamente credenciales y cookies robadas a través del bot de Telegram. Bloquee el acceso desde los servicios de escaneo de seguridad.
Los dominios vinculados son direcciones web especiales utilizadas en operaciones avanzadas de phishing que emplean sistemas de detección “anti-bot” para filtrar herramientas de seguridad y escáneres automatizados.
Cuando estos dominios detectan una posible solución de seguridad, redirigen automáticamente al visitante a una página benigna (“https://google(.)com/404”).
Sin embargo, para los visitantes habituales, el sistema utiliza componentes importantes como “Biblioteca JavaScript Socket.IO para comunicación bidireccional en tiempo real (versión 4.7.5)'', “Identificadores únicos almacenados en atributos HTML (' ), un sistema atributo que contiene un ID de cliente codificado en Base64 doble, un atributo vic' que almacena el correo electrónico de destino y un script de plantilla (jsdrive.js para OneDrive, jsnom.js para Microsoft Sign-in, jssp.js para SharePoint y jsv). .js para plantillas de correo de voz).
Estas plantillas gestionan la apariencia de la página de phishing y proporcionan comandos de eventos específicos ('new-session', 'password_command', 'otp_command').
El sistema utiliza eventos de respuesta ('s2c', 's2c_cookies', 's2c_restart') para controlar el comportamiento de la página y las actualizaciones, al tiempo que utiliza un servidor proxy para manejar los intentos de autenticación contra el 'servidor Entra ID' de Microsoft. Enmascara la fuente verdadera y lo fortalece aún más. la infraestructura de ataque. “Elástico” y “difícil” de rastrear.
Estrategias para proteger su sitio web y API de ataques de malware => Webinar gratuito
Mamba Toolkit Abuses Multi-Factor Authentication In Sophisticated Phishing Attack
