{"id":1537129,"date":"2025-01-17T22:22:59","date_gmt":"2025-01-17T22:22:59","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-nuevo-kit-de-phishing-sneaky-2fa-se-dirige-a-cuentas-de-microsoft-365-con-omision-de-codigo-2fa\/"},"modified":"2025-01-17T22:23:03","modified_gmt":"2025-01-17T22:23:03","slug":"el-nuevo-kit-de-phishing-sneaky-2fa-se-dirige-a-cuentas-de-microsoft-365-con-omision-de-codigo-2fa","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-nuevo-kit-de-phishing-sneaky-2fa-se-dirige-a-cuentas-de-microsoft-365-con-omision-de-codigo-2fa\/","title":{"rendered":"El nuevo kit de phishing &#8216;Sneaky 2FA&#8217; se dirige a cuentas de Microsoft 365 con omisi\u00f3n de c\u00f3digo 2FA"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">17 de enero de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Ciberseguridad \/ Inteligencia contra amenazas<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/El-nuevo-kit-de-phishing-Sneaky-2FA-se-dirige-a.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad han detallado un nuevo kit de phishing de adversario en el medio (AitM) que es capaz de acceder a cuentas de Microsoft 365 con el objetivo de robar credenciales y c\u00f3digos de autenticaci\u00f3n de dos factores (2FA) desde al menos octubre de 2024.<\/p>\n<p>El naciente kit de phishing ha sido denominado Sneaky 2FA por la empresa francesa de ciberseguridad Sekoia, que lo detect\u00f3 en estado salvaje en diciembre. Hasta este mes se han identificado casi 100 dominios que albergan p\u00e1ginas de phishing Sneaky 2FA, lo que sugiere una adopci\u00f3n moderada por parte de los actores de amenazas.<\/p>\n<p>&#8220;Este kit se vende como phishing como servicio (PhaaS) por el servicio de cibercrimen &#8216;Sneaky Log&#8217;, que opera a trav\u00e9s de un bot con todas las funciones en Telegram&#8221;, dijo la compa\u00f1\u00eda. <a rel=\"noopener nofollow\" href=\"https:\/\/blog.sekoia.io\/sneaky-2fa-exposing-a-new-aitm-phishing-as-a-service\/\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis. &#8220;Seg\u00fan se informa, los clientes reciben acceso a una versi\u00f3n ofuscada con licencia del c\u00f3digo fuente y la implementan de forma independiente&#8221;.<\/p>\n<p>Se han observado campa\u00f1as de phishing que env\u00edan correos electr\u00f3nicos relacionados con recibos de pago para incitar a los destinatarios a abrir documentos PDF falsos que contienen c\u00f3digos QR que, al escanearlos, los redireccionan a p\u00e1ginas Sneaky 2FA.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/gartner-endpoint-protection-d-v1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/La-campana-HornsHooves-ofrece-RAT-a-traves-de-correos-electronicos.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Sekoia dijo que las p\u00e1ginas de phishing est\u00e1n alojadas en una infraestructura comprometida, en su mayor\u00eda involucrando sitios web de WordPress y otros dominios controlados por el atacante. Las p\u00e1ginas de autenticaci\u00f3n falsas est\u00e1n dise\u00f1adas para completar autom\u00e1ticamente la direcci\u00f3n de correo electr\u00f3nico de la v\u00edctima para elevar su legitimidad.<\/p>\n<p>El kit tambi\u00e9n cuenta con varias medidas anti-bot y anti-an\u00e1lisis, empleando t\u00e9cnicas como filtrado de tr\u00e1fico y desaf\u00edos Cloudflare Turnstile para garantizar que solo las v\u00edctimas que cumplan con ciertos criterios sean dirigidas a las p\u00e1ginas de recolecci\u00f3n de credenciales. Adem\u00e1s, ejecuta una serie de comprobaciones para detectar y resistir intentos de an\u00e1lisis utilizando herramientas de desarrollo de navegadores web. <\/p>\n<p>Un aspecto notable de PhaaS es que los visitantes del sitio cuya direcci\u00f3n IP se origina en un centro de datos, proveedor de nube, bot, proxy o VPN son dirigidos a una p\u00e1gina de Wikipedia relacionada con Microsoft utilizando el c\u00f3digo href.[.]servicio de redirecci\u00f3n li. Esto ha llevado a TRAC Labs a darle el nombre <a rel=\"noopener nofollow\" href=\"https:\/\/trac-labs.com\/wikikit-aitm-phishing-kit-where-links-tell-lies-abdea71ba094\" target=\"_blank\">WikiKit<\/a>.<\/p>\n<p>&#8220;El kit de phishing Sneaky 2FA emplea varias im\u00e1genes borrosas como fondo para sus p\u00e1ginas falsas de autenticaci\u00f3n de Microsoft&#8221;, explic\u00f3 Sekoia. &#8220;Al utilizar capturas de pantalla de interfaces leg\u00edtimas de Microsoft, esta t\u00e1ctica tiene como objetivo enga\u00f1ar a los usuarios para que se autentiquen y obtengan acceso al contenido borroso&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1737152578_790_El-nuevo-kit-de-phishing-Sneaky-2FA-se-dirige-a.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1737152578_790_El-nuevo-kit-de-phishing-Sneaky-2FA-se-dirige-a.png\" alt=\"\" border=\"0\" data-original-height=\"796\" data-original-width=\"1192\"\/><\/a><\/div>\n<p>Investigaciones adicionales han revelado que el kit de phishing se basa en una verificaci\u00f3n con un servidor central, probablemente el operador, que garantiza que la suscripci\u00f3n est\u00e9 activa. Esto indica que s\u00f3lo los clientes con una clave de licencia v\u00e1lida pueden utilizar Sneaky 2FA para realizar campa\u00f1as de phishing. El kit se anuncia por $200 por mes.<\/p>\n<p>Eso no es todo. Tambi\u00e9n se han descubierto referencias al c\u00f3digo fuente que apuntan a un sindicato de phishing llamado W3LL Store, que Group-IB expuso previamente en septiembre de 2023 como detr\u00e1s de un kit de phishing llamado W3LL Panel y varias herramientas para realizar ataques de compromiso de correo electr\u00f3nico empresarial (BEC).<\/p>\n<p>Esto, junto con las similitudes en la implementaci\u00f3n del rel\u00e9 AitM, tambi\u00e9n ha planteado la posibilidad de que Sneaky 2FA pueda estar basado en el Panel W3LL. Este \u00faltimo tambi\u00e9n opera bajo un modelo de licencia similar que requiere controles peri\u00f3dicos con un servidor central.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/itdr-guide-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1735735832_165_Entidades-iranies-y-rusas-sancionadas-por-interferencia-electoral-utilizando-inteligencia.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>En un giro interesante, algunos de los dominios Sneaky 2FA estaban asociados anteriormente con kits de phishing AitM conocidos, como Evilginx2 y Greatness, una indicaci\u00f3n de que al menos algunos ciberdelincuentes han migrado al nuevo servicio.<\/p>\n<p>&#8220;El kit de phishing utiliza diferentes cadenas de User-Agent codificadas para las solicitudes HTTP dependiendo del paso del flujo de autenticaci\u00f3n&#8221;, dijeron los investigadores de Sekoia. &#8220;Este comportamiento es poco com\u00fan en la autenticaci\u00f3n de usuarios leg\u00edtimos, ya que un usuario tendr\u00eda que realizar pasos sucesivos de autenticaci\u00f3n desde diferentes navegadores web&#8221;.<\/p>\n<p>&#8220;Si bien las transiciones de User-Agent ocurren ocasionalmente en situaciones leg\u00edtimas (por ejemplo, autenticaci\u00f3n iniciada en aplicaciones de escritorio que inician un navegador web o WebView para manejar MFA), la secuencia espec\u00edfica de User-Agents utilizada por Sneaky 2FA no corresponde a un escenario realista. y ofrece una detecci\u00f3n de alta fidelidad del kit&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/01\/new-sneaky-2fa-phishing-kit-targets.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80217 de enero de 2025\ue804Ravie LakshmananCiberseguridad \/ Inteligencia contra amenazas Los investigadores de ciberseguridad han detallado un nuevo<\/p>\n","protected":false},"author":1,"featured_media":1537130,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[88486,4657,4656,4661,706,4664,99,5017,4193,8304,201033,7983,4654,201031,4659,4653,4655,480,50035,8178,246983,255454,246984,165636,201032,246982,4660],"class_list":["post-1537129","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-2fa","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-codigo","tag-como-hackear","tag-con","tag-cuentas","tag-dirige","tag-kit","tag-las-noticias-de-los-piratas-informaticos","tag-microsoft","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevo","tag-omision","tag-phishing","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-sneaky","tag-software-malicioso-ransomware","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1537129","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1537129"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1537129\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1537130"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1537129"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1537129"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1537129"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}