Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
agosto
(Total:
65
)
- Vulnerabilidad en Skype expone la IP pública de cu...
- El FBI desarticula la famosa red de malware Qakbot
- Joven autista hackeó Rockstar Games desde un hotel...
- Fairphone 5: el móvil sostenible y fácil de repara...
- YouTube cambiará «strikes» por cursos de capacitación
- Las marcas de tarjetas gráficas que más fallan y l...
- China prepara una avalancha de chips para intelige...
- Google presenta una herramienta para detectar imág...
- Toyota ha parado su producción en Japón. En solo u...
- Skyhook: una herramienta para exfiltrar informació...
- La ciberseguridad, el sector con menos desempleo: ...
- Nvidia duplica sus ingresos anuales gracias a la v...
- Ya disponible Kali Linux 2023.3 con nuevas herrami...
- Microsoft Excel integra Python en las hojas de cál...
- Las bombillas inteligentes TP-Link Tapo pueden exp...
- Firefox ya permite importar extensiones de Google ...
- Google Chrome avisará de las extensiones que hayan...
- App Mensajes de Android permitirá pedir ayuda por ...
- Anonfiles, el servicio de intercambio de archivos ...
- Demandan a Western Digital por los graves problema...
- Rusia multa a Google con 32.000 dólares por videos...
- Algunas impresoras 3D empezaron a imprimir de madr...
- Elon Musk quiere eliminar la opción de bloquear cu...
- EE. UU. asegura que Rusia y China quieren espiar a...
- La inteligencia artificial ha producido más imágen...
- Debian cumple 30 años
- YouTube eliminará el contenido médico que contradi...
- La guerra entre Rusia y Ucrania también se libra e...
- Qué es Tiny10 y cómo descargarlo e instalarlo en t...
- Escáner de síntomas de compromiso en Citrix NetSca...
- Robo de credenciales RDP (Escritorio Remoto) con R...
- Apple indemnizará por ralentizar el iPhone
- Google usará la IA generativa para resumir artícul...
- Impresoras HP se niegan a escanear si no hay tinta...
- Trucos básicos parar alargar la batería del móvil ...
- Amazon, contra el teletrabajo, rastrea sin avisar ...
- Twitter ralentiza el tráfico a sitios web que no l...
- Nuevo ataque «MaginotDNS» compromete la seguridad ...
- Microsoft Edge va a empezar a guardar capturas de ...
- Cómo usar Privatezilla para mejorar la privacidad ...
- ASUS presenta la placa SBC: Tinker Board 3N
- Curiosidades sobre Linus Torvalds, el creador de L...
- Hackeo del servidor Exchange de la Comisión Electo...
- EvilProxy: ataque de phishing que esquiva el 2FA
- China quiere restringir el reconocimiento facial p...
- Linux tiene problemas de «stuttering» sobre AMD y ...
- Vulnerabilidades importantes en Zoom
- Tesla Hardware 4 cuenta con la mitad de RAM y de a...
- Principales vulnerabilidades explotadas en 2022
- La banda de ransomware Cl0p ahora utiliza Torrents...
- Tinder usará inteligencia artificial para decirte ...
- Sistemas de seguridad en Android
- Irak bloquea Telegram por motivos de seguridad nac...
- Google te avisará si tus datos personales aparecen...
- LinkPreview, la nueva función experimental de Chro...
- Apple insinúa que los iPhones no tendrán baterías ...
- Robo de cuentas comerciales de Facebook con NodeSt...
- Así es WeChat, la app china “para todo” que inspir...
- EmulationStation Desktop Edition: emulación de vid...
- AMD anuncia el procesador Ryzen 9 7945HX3D, su pri...
- La nueva función de Gmail para protegerte contra l...
- Abyss Locker: ransomware orientado a ESXi de VMware
- Elon Musk amenaza con demandar a investigadores qu...
- Más de 100 detenidos en Madrid y Barcelona por est...
- Estados Unidos en busca de malware chino que afect...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
-
La seguridad en dispositivos móviles es cada vez más crucial, especialmente ante el crecimiento de aplicaciones maliciosas diseñadas para v...
EvilProxy: ataque de phishing que esquiva el 2FA
EvilProxy se está convirtiendo en una de las plataformas de phishing más populares para atacar cuentas protegidas por MFA, y los investigadores vieron 120.000 correos electrónicos de phishing enviados a más de cien organizaciones para robar cuentas de Microsoft 365.
Esta nueva investigación proviene de Proofpoint, que advierte sobre un aumento dramático de incidentes exitosos de adquisición de cuentas en la nube en los últimos cinco meses, que afectaron principalmente a ejecutivos de alto rango. La empresa de ciberseguridad ha observado una campaña a gran escala respaldada por EvilProxy, que combina suplantación de identidad de marca, evasión de detección de bots y redirecciones abiertas.
Los grupos APT sofisticados han estado empleando proxies inversos durante un tiempo para eludir las protecciones MFA en las cuentas de destino, algunos usando sus propias herramientas personalizadas mientras que otros usan kits más fáciles de implementar como Modlishka, Necrobrowser y Evilginx2.
La diferencia entre estos frameworks de phishing y EvilProxy es que este último es mucho más simple de implementar, ofrece videos y tutoriales instructivos detallados, una interfaz gráfica fácil de usar y una rica selección de páginas de phishing clonadas para servicios de Internet populares.
Ataques EvilProxy
EvilProxy es una plataforma de phishing como servicio que emplea proxies inversos para transmitir solicitudes de autenticación y credenciales de usuario entre el usuario (objetivo) y el sitio web del servicio legítimo. A medida que el servidor de phishing envía el formulario de inicio de sesión legítimo, puede robar cookies de autenticación una vez que un usuario inicia sesión en su cuenta.
Además, dado que el usuario ya tenía que pasar desafíos de MFA al iniciar sesión en una cuenta, la cookie robada permite a los actores de amenazas eludir la autenticación de múltiples factores.
Como informó Resecurity en septiembre de 2022, EvilProxy se vende a los ciberdelincuentes por U$S 400 por mes, prometiendo la capacidad de apuntar a cuentas de Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy y PyPI.
Una nueva campaña de phishing observada por Proofpoint desde marzo de 2023 utiliza el servicio EvilProxy para enviar correos electrónicos que se hacen pasar por marcas populares como Adobe, DocuSign y Concur. Si la víctima hace clic en el enlace incrustado, pasa por una redirección abierta a través de YouTube o SlickDeals, seguida de una serie de redirecciones posteriores que tienen como objetivo reducir las posibilidades de descubrimiento y análisis.
Eventualmente, la víctima llega a una página de phishing de EvilProxy que invierte el proxy de la página de inicio de sesión de Microsoft 365, que también presenta el tema de la organización de la víctima para que parezca auténtico.
"Para ocultar el correo electrónico del usuario de las herramientas de escaneo automático, los atacantes emplearon una codificación especial del correo electrónico del usuario y utilizaron sitios web legítimos que habían sido hackeados para cargar su código PHP para decodificar la dirección de correo electrónico de un usuario en particular", explica Proofpoint.
"Después de decodificar la dirección de correo electrónico, el usuario es redirigido al sitio web final: la página de phishing real, hecha a medida solo para la organización de ese objetivo".
Peculiaridades de orientación
Los investigadores descubrieron que la última campaña redirige a los usuarios con una dirección IP turca a un sitio legítimo, lo que básicamente cancela el ataque, lo que podría significar que la operación tiene su sede en Turquía.
Además, Proofpoint notó que los atacantes eran muy selectivos con los casos en los que pasarían a la fase de toma de control de la cuenta, priorizando objetivos "VIP" e ignorando a los que estaban más abajo en la jerarquía.
De aquellos cuyas cuentas fueron violadas, el 39% eran ejecutivos de nivel C, el 9% eran directores ejecutivos y vicepresidentes, el 17% eran directores financieros y el resto eran empleados con acceso a activos financieros o información confidencial.
Una vez que una cuenta de Microsoft 365 se ve comprometida, los actores de amenazas agregan su propio método de autenticación de múltiples factores (a través de la aplicación de autenticación con notificación y código) para establecer la persistencia.
Los kits de phishing de proxy inverso, y EvilProxy en particular, son una amenaza creciente capaz de ofrecer phishing de alta calidad a escalas peligrosas mientras eluden las medidas de seguridad y la protección de la cuenta.
Las organizaciones solo pueden defenderse contra esta amenaza a través de una mayor conciencia de seguridad, reglas de filtrado de correo electrónico más estrictas y la adopción de claves físicas basadas en FIDO.
Fuente: BC
Vía:
https://blog.segu-info.com.ar/2023/08/evilproxy-ataque-de-phishing-que-saltea.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.