Las mejores herramientas para phishing en la actualidad

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El phishing en el presente ha evolucionado mucho, así como evolucionó la seguridad destinada a contrarrestarlo. No pocos se preguntan si aún es válido y efectivo.

La autenticación de dos factores (2FA) alguna vez fue un obstáculo para este tipo de ataque, pero las técnicas para eludir muchos tipos de soluciones 2FA se adoptaron e implementaron rápidamente en una variedad de marcos de phishing.

2FA a menudo es aclamado como la solución definitiva para prevenir el phishing, pero no todas las soluciones 2FA son infalibles.

Las siguientes herramientas catalogadas como "kits de herramientas de phishing MITM (man in the middle"  pueden omitir una variedad de soluciones 2FA que incluyen SMS, Push, autenticadores de software, OTP y más.

Afortunadamente, U2F brinda un respiro de los ataques de esta naturaleza, ya que los inicios de sesión de los usuarios están vinculados al origen, por lo que solo el sitio real puede autenticarse con el token U2F.

Desafortunadamente, todavía falta una adopción generalizada de U2F.

Todas las herramientas de phishing usadas a día de hoy con éxito son derivadas de las tres mencionadas más abajo y que se describen.
El post no pretende ser un tutorial paso a paso de cómo usarlas; no es ese mi objetivo. Aunque aquel que así lo desee tiene las pautas para obtener guías.

Consultar el interesantísimo estudio que fue el que inspiró este post.

Evilginx 2 - Próxima generación de phishing para tokens 2FA

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Evilginx2 es un man-in-the-middle utilizado para obtener las credenciales de inicio de sesión junto con las cookies de sesión a través de phishing, lo que a su vez permite omitir la protección de autenticación de 2 factores.

Explicado en detalle:

Evilginx es un marco de ataque para configurar páginas de phishing. En lugar de servir plantillas de páginas de inicio de sesión similares, Evilginx se convierte en un enlace entre el sitio web real y el usuario phishing. El usuario phishing interactúa con el sitio web real, mientras que Evilginx captura todos los datos que se transmiten entre las dos partes.

Evilginx, siendo un man-in-the-middle, captura no solo los nombres de usuario y las contraseñas, sino que también captura los tokens de autenticación enviados como cookies. Los tokens de autenticación capturados permiten al atacante eludir cualquier forma de 2FA habilitada en la cuenta del usuario (excepto U2F).

Incluso si el usuario phishing tiene habilitado 2FA, el atacante, equipado con solo un dominio y un servidor VPS, puede hacerse cargo de forma remota de su cuenta. No importa si 2FA usa códigos SMS, una aplicación de autenticación móvil o claves de recuperación.





Esta herramienta es una sucesora de Evilginx, lanzada en 2017, que utilizó una versión personalizada del servidor HTTP nginx para proporcionar la funcionalidad de intermediario para actuar como un proxy entre un navegador y un sitio web de phishing. La versión actual está completamente escrita en GO como una aplicación independiente, que implementa su propio servidor HTTP y DNS, lo que la hace extremadamente fácil de configurar y usar.

Decarga + Info:

GitHub
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Muraena - Automatización del phishing 2FA y el saqueo posterior al phishing

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Muraena (nombre que alude al pez Morena traduciéndolo al español) es un proxy inverso casi transparente destinado a automatizar las actividades de phishing, y posteriores al phishing.

La herramienta vuelve a implementar la idea de 15 años de usar un proxy inverso personalizado para interactuar dinámicamente con el origen al que se dirige, en lugar de mantener y servir páginas estáticas.

El 15 de mayo de 2019, el equipo de Muraena lanzó Muraena y Necrobrowser. Presentadas inicialmente en su charla en HITB2019AMS, las herramientas de Muraena/Necrobrowser tienen como objetivo: automatizar el phishing de credenciales, tokens 2FA y actividades posteriores al phishing.

Esto lo logra Muraena actuando como una solución de proxy inverso transparente que captura las credenciales y las cookies de sesión.

Estas sesiones válidas se transfieren a Necrobrowser, que utiliza las sesiones recopiladas para hacerse pasar por la víctima.

Necrobrowser instrumenta un conjunto de navegadores Chrome dockerizados para mantener vivas las sesiones robadas, automatizar la extracción de datos y realizar otras acciones en nombre del atacante.

Ejemplo de Muraena para suplantar las credenciales de una cuenta de prueba de Google y se usa la funcionalidad existente de Necrobrowser para automatizar la minería de la bandeja de entrada de Gmail del objetivo, usando capacidades integradas en Necrobrowser:



Como se demuestra en el video, debido a que Muraena usa un proxy inverso para interceptar el tráfico del usuario al sitio web de destino, la experiencia del usuario es prácticamente indistinguible de la navegación directa del usuario al sitio web (aparte del dominio).

Esto contrasta marcadamente con las plataformas de phishing de antaño, que a menudo se basan en servir plantillas prefabricadas que a menudo rompen el contenido dinámico del sitio web.

Decarga + Info:

GitHub
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Muraena Team
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Modlishka

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Modlishka es un proxy inverso HTTP potente y flexible.
Fue escrito como un intento de superar las limitaciones del proxy inverso estándar y como un desafío personal para ver qué es posible con suficiente motivación y un poco de tiempo extra de investigación. Los resultados obtenidos parecieron muy interesantes y la herramienta se lanzó inicialmente y luego se actualizó con el objetivo de:

    Resaltar las debilidades del esquema de autenticación de dos factores (2FA) actualmente utilizado, para que la industria pueda crear e implementar soluciones de seguridad adecuadas.
    Apoyar otros proyectos que podrían beneficiarse de un proxy inverso universal y transparente.
    Sensibilizar a la comunidad sobre las técnicas y estrategias modernas de phishing y apoye a los evaluadores de penetración en su trabajo diario.

Modlishka se escribió principalmente para tareas relacionadas con la seguridad. Sin embargo, puede ser útil en otros escenarios de uso no relacionados con la seguridad.

Modlishka se puede utilizar actualmente para:

    Pruebas de penetración de phishing ético con un componente de proxy inverso transparente y automatizado que tiene un soporte universal de "derivación" 2FA.
    Envenenarr automáticamente la memoria caché de los navegadores HTTP 301 y secuestra permanentemente las URL que no son TLS.
    Diagnosticar y secuestrar el tráfico HTTP de aplicaciones basadas en navegador desde la perspectiva del ataque "Client Domain Hooking".
    Envuelva los sitios web heredados con la capa TLS, confunda los robots rastreadores y los escáneres automatizados, etc.

Modlishka en acción:





Decarga + Info:

GitHub
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuentes:

Varias sobre internet, en especial los respectivos sitios de las herramientas y la propia descripción de sus desarrolladores.
Este post se basó e inspiró en la consulta de un estudio, análisis, e investigación realizado por académicos de la Universidad de Stony Brook sobre el phishing actual y sus tendencias de actualización:

"Catching Transparent Phish:Analyzing and Detecting MITM Phishing Toolkits"

Se enfocaron en las herramientas que se describen anteriormente: Evilginx, Muraena y Modlishka.

El equipo de académicos desarrolló también una herramienta, a la que llamaron PHOCA, que es capaz de detectar si un sitio de phishing utiliza un proxy inverso en lugar de su método tradicional. El uso de un proxy inverso está destinado a ser una indicación de que algo anda mal y que se está omitiendo la autenticación de dos factores.

Se invita a seguidores del phishing consultar el estudio:

Descarga del documento (.pdf):
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

wow tienen buena pinta habrá que encender de nuevo el laboratorio y probarlas jajajja a ver su funcionamiento y a empaparse de conocimiento muarena ya la conocía pero a evil no había oído hablar de ella hora de practicar