Rockstar 2FA: cómo los piratas informáticos evitan la protección multifactor en dos clics
Ni siquiera los sofisticados sistemas de seguridad pueden salvarle de los astutos trucos de los delincuentes.
Los investigadores de ciberseguridad advierten sobre nuevos ataques de phishing organizados utilizando la herramienta Phishing-as-a-Service (PhaaS) llamada Rockstar 2FA. El objetivo de estos ataques es robar las credenciales de los usuarios de Microsoft 365, incluidas las cookies de sesión.
En un informe reciente de la empresa Trustwave, los investigadores señalaron que esta operación utiliza el método de "adversario en el medio" (AiTM), que permite interceptar credenciales y cookies de sesión incluso de usuarios con autenticación multifactor (MFA) habilitada.
Rockstar 2FA es considerado una versión actualizada del kit DadSec (también conocido como Phoenix). Microsoft rastrea a los desarrolladores y distribuidores de esta plataforma bajo el nombre en código Storm-1575. El kit se vende por suscripción: $200 por dos semanas o $350 por mes, proporcionando a los ciberdelincuentes sin habilidades técnicas avanzadas la capacidad de realizar ataques a gran escala.
Entre las capacidades clave de Rockstar 2FA se encuentran la elusión de la autenticación de dos factores, la recopilación de cookies, la protección antibot, temas para páginas de inicio de sesión que imitan servicios populares y la integración con bots de Telegram. La plataforma también ofrece un conveniente panel de administración para gestionar campañas maliciosas y personalizar enlaces.
Los ciberdelincuentes utilizan varios métodos de acceso inicial, incluyendo URL, códigos QR y documentos adjuntos. A menudo, estos mensajes se envían desde cuentas ya comprometidas o a través de herramientas de spam. Para eludir los filtros antispam, se utilizan servicios legítimos de acortamiento de enlaces, redirecciones y protección mediante Cloudflare Turnstile.
Trustwave señala que los atacantes colocan enlaces de phishing en plataformas que generan confianza, como Google Docs Viewer, Atlassian Confluence y Microsoft OneDrive. Esto aumenta la efectividad de los ataques, ya que los usuarios rara vez dudan de la legitimidad de tales enlaces.
Los datos ingresados por las víctimas en las páginas falsas se envían instantáneamente al servidor de los atacantes. Luego, las credenciales robadas se utilizan para obtener cookies de sesión, permitiendo el acceso completo a la cuenta evadiendo la autenticación multifactor.
El desarrollo del cibercrimen como modelo de servicio demuestra cómo la accesibilidad tecnológica y la facilidad de uso de herramientas maliciosas pueden representar una amenaza seria incluso en manos de hackers inexpertos. Para evitar tales amenazas, se requiere que los usuarios mantengan una vigilancia constante al trabajar con cualquier recurso en línea, incluso aquellos que generan confianza.
¿Estás cansado de que Internet sepa todo sobre ti?