Una campaña de phishing sofisticada y residente en memoria, denominada BlobPhish, activa desde octubre de 2024, que explota las APIs de Blob URL de los navegadores para robar silenciosamente credenciales de usuarios de Microsoft 365, grandes bancos estadounidenses y plataformas financieras, permaneciendo casi completamente invisible para las herramientas de seguridad tradicionales. BlobPhish es una operación sostenida de phishing de credenciales que cambia fundamentalmente la forma en que se entregan las páginas de phishing a los usuarios.

Una sofisticada campaña de phishing residente en memoria llamada BlobPhish, activa desde octubre de 2024, que explota las APIs de Blob URL de los navegadores para robar silenciosamente credenciales de usuarios de Microsoft 365, grandes bancos estadounidenses y plataformas financieras, mientras permanece casi completamente invisible para las herramientas de seguridad tradicionales.

BlobPhish es una operación sostenida de phishing de credenciales que cambia fundamentalmente la forma en que se entregan las páginas de phishing a las víctimas.

En lugar de alojar páginas de inicio de sesión falsas en servidores controlados por atacantes y servirlas a través de HTTP estándar, BlobPhish genera páginas de phishing completamente dentro del navegador de la víctima utilizando objetos Blob de JavaScript.

El resultado es una carga útil de phishing que existe solo en memoria, sin dejar archivos en el disco, sin artefactos en la caché y sin solicitudes HTTP sospechosas en los registros de proxy que las herramientas de seguridad puedan detectar.

Observada por primera vez en octubre de 2024, la campaña ha estado activa sin interrupciones durante más de 18 meses y registró un aumento significativo en su actividad en febrero de 2026, confirmando que se trata de una operación de amenaza madura y bien mantenida, en lugar de un ataque oportunista de corta duración.

Cadena de ataque de BlobPhish

La cadena de ataque de BlobPhish está diseñada elegantemente para evadir tanto las defensas basadas en red como las basadas en archivos:

• Acceso inicial: La víctima recibe un correo de phishing —a menudo imitando una alerta financiera, factura o compartición de documentos— que contiene un enlace a un servicio de apariencia confiable como DocSend o una URL acortada mediante t.co. También se han observado archivos PDF adjuntos con códigos QR que llevan a páginas maliciosas de JavaScript, especialmente en campañas dirigidas al sector energético.
• Ejecución del cargador: Al hacer clic en el enlace, la víctima es redirigida a una página HTML controlada por el atacante que aloja un cargador de JavaScript. Utilizando jQuery, el cargador crea de manera invisible un elemento ancla oculto <a>, decodifica en Base64 una carga útil de phishing empaquetada usando atob(), construye un objeto Blob de tipo text/html, genera una URL blob:https:// mediante window.URL.createObjectURL() y fuerza al navegador a navegar hacia ella —todo sin ninguna interacción visible del usuario.

• Destrucción de evidencia: Inmediatamente después de la navegación, el cargador llama a window.URL.revokeObjectURL() y elimina el elemento ancla del DOM, destruyendo cualquier rastro restante en memoria de la operación del cargador.

• Recolección de credenciales: La víctima se encuentra con una réplica convincente de una página de inicio de sesión de Microsoft 365, Chase, Capital One u otro servicio financiero. La barra de direcciones del navegador muestra una URL blob:https://, que puede parecer legítima a ojos no entrenados. Un contador de intentos fallidos obliga a las víctimas a reintroducir sus credenciales varias veces, maximizando la precisión de la recolección. Los datos capturados se exfiltran mediante HTTP POST a endpoints controlados por los atacantes que siguen el patrón */res.php, */tele.php o */panel.php, alojados predominantemente en sitios legítimos de WordPress comprometidos.

BlobPhish evade las defensas convencionales

BlobPhish suplantan una amplia lista de plataformas de alto valor, incluyendo Microsoft 365, OneDrive, SharePoint, Chase, Capital One, FDIC, E*TRADE, Charles Schwab, Morgan Stanley/Merrill Lynch, American Express, PayPal e Intuit.

Aunque los señuelos financieros y de productividad en la nube dominan, las organizaciones víctimas abarcan los sectores de Finanzas, Manufactura, Educación, Gobierno, Transporte y Telecomunicaciones.

Geográficamente, aproximadamente un tercio de las víctimas observadas son de EE.UU., con actividad adicional registrada en Alemania, Polonia, España, Suiza, Reino Unido, Australia, Corea del Sur, Arabia Saudita, Catar, Jordania, India y Pakistán.

El esquema blob:https:// es la innovación central de evasión de la campaña. Debido a que la página de phishing nunca se transmite a través de la red como una respuesta HTTP independiente:

• Los motores de reputación de URL no pueden bloquearla —no hay URL externa que escanear.
• Los registros de proxy no muestran solicitudes sospechosas para la página de phishing en sí.
• Las puertas de enlace de correo seguro (SEG) no detectan la carga útil, que solo se materializa después de la entrega.
• Las soluciones de endpoint basadas en archivos no encuentran nada —nunca se escribe un archivo en el disco.
• El análisis forense de la caché no arroja resultados —la URL Blob se revoca antes de que los investigadores puedan inspeccionarla.

Un solo compromiso exitoso de BlobPhish puede desencadenar fraude de compromiso de correo empresarial (BEC), toma completa de inquilinos de Microsoft 365, transferencias bancarias no autorizadas, manipulación de cuentas de inversión e implementación de ransomware tras el movimiento lateral.

Las consecuencias regulatorias, incluyendo la notificación de brechas en 72 horas bajo el GDPR, la divulgación de incidentes de ciberseguridad de la SEC y las directrices de autenticación del FFIEC, añaden exposición legal material además del daño operativo.

Indicadores clave de compromiso (IOCs)

Otros dominios comprometidos incluyen larva888[.]com, riobeautybrazil[.]com, i-seotools[.]com y mts-egy[.]net.

Recomendaciones defensivas

Los equipos de seguridad deben tomar las siguientes acciones prioritarias:

• Implementa análisis en sandbox capaz de ejecutar JavaScript en navegadores reales para detonar cargas útiles basadas en Blob de manera segura antes de que lleguen a los usuarios finales.
• Realiza caza proactiva utilizando la regla YARA BlobPhishLoaderHTML y consultas de pivoteo de URL (url:"/res.php$", url:"*/blob.html$") en plataformas de inteligencia de amenazas.
• Refuerza la autenticación multifactor resistente al phishing (FIDO2/llaves de hardware) en todos los portales de Microsoft 365 y banca para limitar el radio de explosión post-compromiso.
• Integra feeds de inteligencia de amenazas en tiempo real que envíen los IOCs de BlobPhish a firewalls, proxies y reglas de SIEM automáticamente a medida que la infraestructura de los atacantes rota.
• Capacita a los empleados para reconocer URLs inesperadas blob:https:// en la barra de direcciones del navegador como una señal de alerta.

BlobPhish demuestra que la amenaza del phishing ha superado las defensas perimetrales y basadas en firmas estáticas.

La protección efectiva ahora exige análisis de comportamiento dinámico, caza continua de amenazas y propagación automatizada de inteligencia operando a la velocidad de rotación de la infraestructura de los atacantes.