Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El nuevo kit de phishing ‘Sneaky 2FA’ se dirige a cuentas de Microsoft 365 con omisión de código 2FA
  • Tecnología

El nuevo kit de phishing ‘Sneaky 2FA’ se dirige a cuentas de Microsoft 365 con omisión de código 2FA

teknomers 17 de Ocak de 2025 (Last updated: 17 de Ocak de 2025) 5 minutes read
El nuevo kit de phishing 'Sneaky 2FA' se dirige a


17 de enero de 2025Ravie LakshmananCiberseguridad / Inteligencia contra amenazas

Los investigadores de ciberseguridad han detallado un nuevo kit de phishing de adversario en el medio (AitM) que es capaz de acceder a cuentas de Microsoft 365 con el objetivo de robar credenciales y códigos de autenticación de dos factores (2FA) desde al menos octubre de 2024.

El naciente kit de phishing ha sido denominado Sneaky 2FA por la empresa francesa de ciberseguridad Sekoia, que lo detectó en estado salvaje en diciembre. Hasta este mes se han identificado casi 100 dominios que albergan páginas de phishing Sneaky 2FA, lo que sugiere una adopción moderada por parte de los actores de amenazas.

“Este kit se vende como phishing como servicio (PhaaS) por el servicio de cibercrimen ‘Sneaky Log’, que opera a través de un bot con todas las funciones en Telegram”, dijo la compañía. dicho en un análisis. “Según se informa, los clientes reciben acceso a una versión ofuscada con licencia del código fuente y la implementan de forma independiente”.

Se han observado campañas de phishing que envían correos electrónicos relacionados con recibos de pago para incitar a los destinatarios a abrir documentos PDF falsos que contienen códigos QR que, al escanearlos, los redireccionan a páginas Sneaky 2FA.

Ciberseguridad

Sekoia dijo que las páginas de phishing están alojadas en una infraestructura comprometida, en su mayoría involucrando sitios web de WordPress y otros dominios controlados por el atacante. Las páginas de autenticación falsas están diseñadas para completar automáticamente la dirección de correo electrónico de la víctima para elevar su legitimidad.

El kit también cuenta con varias medidas anti-bot y anti-análisis, empleando técnicas como filtrado de tráfico y desafíos Cloudflare Turnstile para garantizar que solo las víctimas que cumplan con ciertos criterios sean dirigidas a las páginas de recolección de credenciales. Además, ejecuta una serie de comprobaciones para detectar y resistir intentos de análisis utilizando herramientas de desarrollo de navegadores web.

Un aspecto notable de PhaaS es que los visitantes del sitio cuya dirección IP se origina en un centro de datos, proveedor de nube, bot, proxy o VPN son dirigidos a una página de Wikipedia relacionada con Microsoft utilizando el código href.[.]servicio de redirección li. Esto ha llevado a TRAC Labs a darle el nombre WikiKit.

“El kit de phishing Sneaky 2FA emplea varias imágenes borrosas como fondo para sus páginas falsas de autenticación de Microsoft”, explicó Sekoia. “Al utilizar capturas de pantalla de interfaces legítimas de Microsoft, esta táctica tiene como objetivo engañar a los usuarios para que se autentiquen y obtengan acceso al contenido borroso”.

Investigaciones adicionales han revelado que el kit de phishing se basa en una verificación con un servidor central, probablemente el operador, que garantiza que la suscripción esté activa. Esto indica que sólo los clientes con una clave de licencia válida pueden utilizar Sneaky 2FA para realizar campañas de phishing. El kit se anuncia por $200 por mes.

Eso no es todo. También se han descubierto referencias al código fuente que apuntan a un sindicato de phishing llamado W3LL Store, que Group-IB expuso previamente en septiembre de 2023 como detrás de un kit de phishing llamado W3LL Panel y varias herramientas para realizar ataques de compromiso de correo electrónico empresarial (BEC).

Esto, junto con las similitudes en la implementación del relé AitM, también ha planteado la posibilidad de que Sneaky 2FA pueda estar basado en el Panel W3LL. Este último también opera bajo un modelo de licencia similar que requiere controles periódicos con un servidor central.

Ciberseguridad

En un giro interesante, algunos de los dominios Sneaky 2FA estaban asociados anteriormente con kits de phishing AitM conocidos, como Evilginx2 y Greatness, una indicación de que al menos algunos ciberdelincuentes han migrado al nuevo servicio.

“El kit de phishing utiliza diferentes cadenas de User-Agent codificadas para las solicitudes HTTP dependiendo del paso del flujo de autenticación”, dijeron los investigadores de Sekoia. “Este comportamiento es poco común en la autenticación de usuarios legítimos, ya que un usuario tendría que realizar pasos sucesivos de autenticación desde diferentes navegadores web”.

“Si bien las transiciones de User-Agent ocurren ocasionalmente en situaciones legítimas (por ejemplo, autenticación iniciada en aplicaciones de escritorio que inician un navegador web o WebView para manejar MFA), la secuencia específica de User-Agents utilizada por Sneaky 2FA no corresponde a un escenario realista. y ofrece una detección de alta fidelidad del kit”.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Un hombre y una mujer detenidos tras apuñalar en el centro de Róterdam, la víctima está gravemente herida
Next: El delantero del FC Volendam, Henk Veerman, bendecido con pies suaves: "No escucho tan a menudo"

Related Stories

Scaleway (Iliad) compra al francés Qarnot, para un cloud más
  • Tecnología

Scaleway (Iliad) compra al francés Qarnot, para un cloud más verde y un reciclaje de la calor

teknomers 11 de Temmuz de 2026
NVIDIA presenta 14 nuevas GeForce… pero sin ningún GPU a
  • Tecnología

NVIDIA presenta 14 nuevas GeForce… pero sin ningún GPU a la vista

teknomers 11 de Temmuz de 2026
iPhone Ultra: se revela su batería, y podría ser menos
  • Tecnología

iPhone Ultra: se revela su batería, y podría ser menos generosa de lo esperado

teknomers 11 de Temmuz de 2026

You May Have Missed

  • Deporte

Menos espectacular, más completa… ¿Qué vale España, adversaria de los Bleus en la semifinal del Mundial?

teknomers 11 de Temmuz de 2026
  • Cultura

«Mostrar la cara oculta del iceberg»: Léon Marchand, inmersión en el trasfondo en un documental evento

teknomers 11 de Temmuz de 2026
Scaleway (Iliad) compra al francés Qarnot, para un cloud más
  • Tecnología

Scaleway (Iliad) compra al francés Qarnot, para un cloud más verde y un reciclaje de la calor

teknomers 11 de Temmuz de 2026
España: Un incendio deja al menos 11 muertos en Andalucía,
  • Entretenimiento

España: Un incendio deja al menos 11 muertos en Andalucía, el primer balance ya supera al de 2025

teknomers 11 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.