Los investigadores de ciberseguridad advierten sobre campa\u00f1as de correo electr\u00f3nico maliciosas que aprovechan un conjunto de herramientas de phishing como servicio (PhaaS) llamado Estrella de rock 2FA<\/strong> con el objetivo de robar las credenciales de la cuenta de Microsoft 365.<\/p>\n “Esta campa\u00f1a emplea un AitM [adversary-in-the-middle] ataque, lo que permite a los atacantes interceptar las credenciales de los usuarios y las cookies de sesi\u00f3n, lo que significa que incluso los usuarios con autenticaci\u00f3n multifactor (MFA) habilitada pueden seguir siendo vulnerables”, afirman los investigadores de Trustwave Diana Solomon y John Kevin Adriano. dicho<\/a>.<\/p>\n Se considera que Rockstar 2FA es una versi\u00f3n actualizada del kit de phishing DadSec (tambi\u00e9n conocido como Phoenix). Microsoft rastrea a los desarrolladores y distribuidores de la plataforma Dadsec PhaaS bajo el nombre Tormenta-1575<\/a>.<\/p>\n Al igual que sus predecesores, el kit de phishing se anuncia a trav\u00e9s de servicios como ICQ, Telegram y Mail.ru bajo un modelo de suscripci\u00f3n de 200 d\u00f3lares por dos semanas (o 350 d\u00f3lares por un mes), lo que permite a los ciberdelincuentes con poca o ninguna experiencia t\u00e9cnica montar campa\u00f1as a escala.<\/p>\n Algunas de las caracter\u00edsticas promocionadas de Rockstar 2FA incluyen omisi\u00f3n de autenticaci\u00f3n de dos factores (2FA), recolecci\u00f3n de cookies 2FA, protecci\u00f3n antibot, temas de p\u00e1ginas de inicio de sesi\u00f3n que imitan servicios populares, enlaces totalmente indetectables (FUD) e integraci\u00f3n de bots de Telegram.<\/p>\n Tambi\u00e9n afirma tener un “panel de administraci\u00f3n moderno y f\u00e1cil de usar” que permite a los clientes rastrear el estado de sus campa\u00f1as de phishing, generar URL y archivos adjuntos, e incluso personalizar los temas que se aplican a los enlaces creados.<\/p>\n Las campa\u00f1as de correo electr\u00f3nico detectadas por Trustwave aprovechan diversos vectores de acceso inicial, como URL, c\u00f3digos QR y documentos adjuntos, que est\u00e1n integrados en los mensajes enviados desde cuentas comprometidas o herramientas de spam. Los correos electr\u00f3nicos utilizan varias plantillas de se\u00f1uelo que van desde notificaciones de intercambio de archivos hasta solicitudes de firmas electr\u00f3nicas.<\/p>\n adem\u00e1s de usar redireccionadores de enlaces leg\u00edtimos<\/a> (por ejemplo, URL acortadas, redirecciones abiertas, servicios de protecci\u00f3n de URL o servicios de reescritura de URL) como mecanismo para evitar la detecci\u00f3n antispam, el kit incorpora controles antibot utilizando Cloudflare Turnstile en un intento de disuadir el an\u00e1lisis automatizado de las p\u00e1ginas de phishing de AitM.<\/p>\n Trustwave lo dijo observado<\/a> la plataforma utiliza servicios leg\u00edtimos como Atlassian Confluence, Google Docs Viewer, LiveAgent y Microsoft OneDrive, OneNote y Dynamics 365 Customer Voice para alojar los enlaces de phishing, lo que destaca que los actores de amenazas se est\u00e1n aprovechando de la confianza que conlleva dichas plataformas.<\/p>\n “El dise\u00f1o de la p\u00e1gina de phishing se parece mucho a la p\u00e1gina de inicio de sesi\u00f3n de la marca que se est\u00e1 imitando a pesar de las numerosas ofuscaciones aplicadas al c\u00f3digo HTML”, dijeron los investigadores. “Todos los datos proporcionados por el usuario en la p\u00e1gina de phishing se env\u00edan inmediatamente al servidor AiTM. Las credenciales exfiltradas se utilizan luego para recuperar la cookie de sesi\u00f3n de la cuenta objetivo”.<\/p>\n La divulgaci\u00f3n llega como Malwarebytes detallado<\/a> una campa\u00f1a de phishing denominada Beluga que emplea archivos adjuntos .HTM para enga\u00f1ar a los destinatarios de correo electr\u00f3nico para que ingresen sus credenciales de Microsoft OneDrive en un formulario de inicio de sesi\u00f3n falso, que luego se filtran a un bot de Telegram.<\/p>\n Tambi\u00e9n se ha descubierto que los enlaces de phishing y los anuncios enga\u00f1osos de juegos de apuestas en las redes sociales impulsan aplicaciones de adware como Mobi Dash<\/a> as\u00ed como aplicaciones financieras fraudulentas que roban datos personales y dinero con el pretexto de prometer retornos r\u00e1pidos.<\/p>\n “Los juegos de apuestas anunciados se presentan como oportunidades leg\u00edtimas para ganar dinero, pero est\u00e1n cuidadosamente dise\u00f1ados para enga\u00f1ar a los usuarios para que depositen fondos, que tal vez nunca vuelvan a ver”, Mahmoud Mosaad, analista de Group-IB CERT dicho<\/a>.<\/p>\n “A trav\u00e9s de estas aplicaciones y sitios web fraudulentos, los estafadores robaban informaci\u00f3n personal y financiera de los usuarios durante el proceso de registro. Las v\u00edctimas pueden sufrir p\u00e9rdidas financieras significativas, y algunas reportan p\u00e9rdidas de m\u00e1s de 10.000 d\u00f3lares”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/Phishing-como-servicio-quotEstrella-de-rock-2FAquot-Se-dirige-a.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n