Ataque de Phishing BITB: lo que debes saber

21 Marzo 2022
Informativo

 

Durante la última semana se ha generado un alto interés por un nuevo método de phishing que permite levantar operaciones con bajo nivel de conocimientos e infraestructura mediante el uso de template públicamente disponibilizados por el investigador “mr.d0x”, que permiten desarrollar un ataque “Browser in the Browser” (ventana emergente) que engaña al usuario debido a que elementos clave como la URL son correctamente manipulados para parecer legítimos a la vista


Browser in the Browser

Esta técnica fue reportada en 2020 (no necesariamente la fecha de creación) suplantando la página de Login de STEAM en sitios de Gaming y consiste en la aparición de ventanas emergentes maliciosas solicitando credenciales de acceso con el estilo Single Sign ON (SSO) y 0AUTH, que son ampliamente utilizadas para acceder a nuevos sitios web con credenciales preexistentes de otras marcas como Gmail, Facebook, Apple, Microsoft, entre otros.

 

Ejemplo de login mediante SSO o 0AUTH

 

Como requisito para el despliegue de este ataque es necesario que la víctima acceda a un sitio web comprometido voluntaria o involuntariamente por el administrador.

De momento este ataque se encuentra dirigido a entornos del navegador Chrome y que en conjunto a la herramienta “evilginx2” (Men in the Middle) igualmente pública, podría ser capaz de lanzar un ataque con mayor sofisticacion que permita robar incluso el código de autenticación MFA.

 

Templates disponibilizados por mr.d0x

 

Proceso del ataque

Como es mencionado, llevar a cabo un ataque de este tipo requiere la replicación de ventanas emergentes donde se debe ingresar credenciales de acceso (lo que normalmente ocurre en los sitios donde es requerido un login).

Para ello y como menciona el experto que descubrió esta falla, replicar una ventana de este tipo en lenguaje HTML/CSS, básico es bastante simple, ya que se procede a la combinación del diseño de la ventana con un iframe (inserta en el sitio una redirección a url o servidores externos) que apunte al servidor malicioso que aloja la página de phishing, lo que básicamente sería indistinguible. 

 

Comparación entre ventana Phishing y Real.

 

Lo anterior, se puede mejorar visualmente con el uso de Javascript y otros métodos que permitan hacer la ventana mucho más atractiva y por lo tanto, el ataque sea mucho más creíble.

De igual forma, la construcción de una URL personalizada se puede lograr mucho más realista al utilizar Javascript y un atributo “href” dentro de HTML, ya que este no revelaría la URL personalizada (maliciosa), si no hasta el momento de hacer click en este.

 

Ejemplo de código para lanzar una ventana de Phishing.

 

De esta forma, se puede insertar una pequeña porción de código que redirija al sitio malicioso, sin ser “detectado”.

 

Inframe de Phishing insertado en sitio legítimo.

 

Impacto

Indudablemente, esta es una forma en que los atacantes que hacen uso de Phishing para el robo de credenciales, demostrando que pueden mejorar sus técnicas de ataque, lo que sugiere una vez más, que este tipo de métodos se encuentran presentes en la cotidianidad, haciendo cada vez más compleja la detección de estos ataques por el usuario común, siendo un eslabón cada vez más débil en la securización de la información

 


 

Una vez más, gracias a las investigaciones llevadas a cabo, técnicas que pueden ser utilizadas en contra de cualquier usuario, son “liberadas” al público, cuyo único objetivo es seguir preparando a cada uno de estos y permitirles crear conciencia respecto a las amenazas presentes en el día a día.

Lo anterior, no es significado absoluto de estar “fuera de peligro”, por cuanto muchos otras investigaciones anteriores de este tipo, pudieron ser llevadas a cabo por actores de amenaza que explotan estas vulnerabilidades presentes, con el claro objetivo de obtener datos que puedan ser utilizados en transacciones ilícitas, desde la venta de datos hasta el compromiso de cuentas legítimas para distribución de otra clase de ataques.

Es importante recalcar que este método, viene a efectuar una “mejora” en el modo de operación de una campaña de phishing, por lo cual es muy importante que se tomen medidas de resguardo en la navegación, sobre todo considerando que la mayoría de los sitios que utilizan acceso por este método, podrían ser vulnerables a un ataque de este tipo.

Al momento y de acuerdo a las investigaciones, para llevar a cabo este ataque, se debería contar con un sitio comprometido, para así efectuar las modificaciones correspondientes para lanzar la campaña de phishing, lo que hasta el día de hoy es una manera muy compleja para llevar a cabo por los actores maliciosos.

Lo anterior, sugiere mantener las infraestructuras web actualizadas, en un estado “saludable” de operación y siguiendo las recomendaciones de parchado emitidas por cada proveedor, como también considerar aquellas sugeridas en este boletín.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Debido a que el usuario es el principal vector de entrada a una organización, es imperante la concientización de las amenazas digitales para absolutamente todos los colaboradores de la organización que hagan uso de un equipo dentro de la red, incluidas las altas direcciones, que suelen ser blancos atractivos para este tipo de campañas.
  • Restringir o bloquear la aparición de ventanas emergentes en los navegadores mediante el panel de configuraciones.
  • Mantener soluciones Antivirus correctamente actualizadas y en su última versión de base de datos.
  • Generar reglas de bloqueo en plataformas de seguridad perimetral que permitan identificar portales con antecedentes o características maliciosas.
  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

Tags: #Phishing #Browser #Credenciales #mr.d0x #SSO #0auth #Windows #Mac


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.