Microsoft advierte sobre el uso a gran escala de kits de phishing para enviar millones de correos electrónicos diariamente

Un kit de phishing de código abierto adversary-in-the-middle (AiTM) ha encontrado una serie de takers en el mundo del cibercrimen por su capacidad para orquestar ataques a escala.

El equipo de Microsoft Threat Intelligence está rastreando al actor de amenazas detrás del desarrollo del kit bajo su apodo emergente DEV-1101.

Un ataque de phishing AiTM generalmente involucra a un actor de amenazas que intenta robar e interceptar la contraseña y las cookies de sesión de un objetivo mediante la implementación de un servidor proxy entre el usuario y el sitio web.

Tales ataques son más efectivos debido a su capacidad para eludir las protecciones de autenticación multifactor (MFA), específicamente las contraseñas de un solo uso basadas en el tiempo (TOTP).

Se dice que DEV-1101, según el gigante tecnológico, es la parte detrás de varios kits de phishing que pueden ser comprados o alquilados por otros actores criminales, reduciendo así el esfuerzo y los recursos necesarios para lanzar una campaña de phishing.

“La disponibilidad de tales kits de phishing para su compra por parte de los atacantes es parte de la industrialización de la economía cibercriminal y reduce la barrera de entrada para el cibercrimen”, dijo Microsoft en un informe técnico.

La economía basada en servicios que alimenta tales ofertas también puede resultar en un doble robo, en el que las credenciales robadas se envían tanto al proveedor de phishing como a sus clientes.

El kit de código abierto de DEV-1101 viene con características que permiten configurar páginas de destino de phishing que imitan a Microsoft Office y Outlook, sin mencionar administrar campañas desde dispositivos móviles e incluso usar comprobaciones CAPTCHA para evadir la detección.

El servicio, desde su debut en mayo de 2022, ha sufrido varias mejoras, la principal de ellas es la capacidad de administrar servidores que ejecutan el kit a través de un bot de Telegram. Actualmente tiene un precio de $ 300 por una tarifa de licencia mensual, con licencias VIP que cuestan $ 1,000.

Microsoft dijo que ha detectado numerosas campañas de phishing de alto volumen que abarcan millones de correos electrónicos de phishing por día de varios actores que aprovechan la herramienta.

Esto incluye un grupo de actividades denominado DEV-0928 que Redmond describió como uno de los “clientes más prominentes de DEV-1101” y que se ha vinculado a una campaña de phishing que comprende más de un millón de correos electrónicos desde septiembre de 2022.

La secuencia de ataque comienza con mensajes de correo electrónico con temas de documentos que contienen un enlace a un archivo PDF, que cuando se hace clic, dirige al destinatario a una página de inicio de sesión que se hace pasar por el portal de inicio de sesión de Microsoft, pero no antes de instar a la víctima a completar un paso CAPTCHA.

“Insertar una página CAPTCHA en la secuencia de phishing podría dificultar que los sistemas automatizados lleguen a la página final de phishing, mientras que un humano podría hacer clic fácilmente en la página siguiente”, dijo Microsoft.

Aunque estos ataques AiTM están diseñados para eludir MFA, es crucial que las organizaciones adopten métodos de autenticación resistentes al phishing, como el uso de claves de seguridad FIDO2, para bloquear intentos de inicio de sesión sospechosos.

Related Posts
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.