Los ciberdelincuentes actualizan el Kit de Phishing

Iniciado por AXCESS, Marzo 19, 2025, 10:37:04 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 19, 2025, 10:37:04 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

De enero a febrero, Barracuda Networks afirma haber observado un millón de ataques Phaas, utilizando las herramientas más populares: Tycoon 2FA, EvilProxy y Sneaky 2FA.

En febrero, se detectó un brote de ataques con la herramienta Tycoon 2FA, utilizada en el 89 % de los ataques.

Anteriormente, Tycoon 2FA implementaba scripts maliciosos para obstaculizar el análisis de las páginas de phishing por parte de los defensores, por ejemplo, bloqueando las teclas de acceso directo. Los desarrolladores de malware han abandonado este enfoque y lo han sustituido por una herramienta más evasiva.

Para robar las credenciales de usuario y exfiltrarlas a un servidor controlado por el atacante, Tycoon 2FA ahora cifra el script con un cifrado César en lugar de almacenarlo en texto plano.

"El script actualizado identifica el tipo de navegador de la víctima, probablemente para evadir o personalizar el ataque. También incluye enlaces de Telegram que se utilizan a menudo para enviar secretamente datos robados a los atacantes", afirma Barracuda Networks en una entrada de blog.

Un indicio de un ataque Tycoon 2FA puede ser el dominio de nivel superior ".ru" (la última parte de una URL) y la dirección de correo electrónico de la víctima incrustada en la URL de phishing, ya sea en texto plano o codificada en Base64.

EvilProxy, otra herramienta utilizada por hackers y que requiere conocimientos técnicos mínimos para su funcionamiento, se empleó en el 8 % de los ataques.

Mediante correos electrónicos de phishing y enlaces maliciosos, EvilProxy engaña a las víctimas para que introduzcan sus credenciales en páginas de inicio de sesión aparentemente legítimas. Se dirige a Microsoft 365, Google y otras plataformas en la nube mediante enlaces maliciosos que engañan a los usuarios para que introduzcan sus credenciales en páginas de inicio de sesión aparentemente legítimas.

Los ataques de EvilProxy son más difíciles de detectar porque utilizan una URL aleatoria. Los usuarios deben tener esto en cuenta y evitar introducir sus credenciales si creen que la URL de la página de inicio de sesión de Microsoft/Google es diferente de la página de inicio de sesión habitual.

La tercera herramienta más popular de Phaas, Sneaky 2FA, que se dirige a las cuentas de Microsoft 365 en busca de credenciales y acceso, se utilizó en el 3 % de todos los ataques de Phaas detectados por Barracuda Networks.

Según Barracuda Networks, un indicio de Sneaky 2FA es que las URL de phishing suelen constar de 150 caracteres alfanuméricos, seguidos de la ruta /index, /verify y /validate.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario