Resumen: Una nueva técnica de phishing, le permite a los atacantes eludir la autenticación multifactor (MFA), haciendo que las víctimas se conecten a sus cuentas directamente desde servidores controlados por el atacante, mediante el sistema de pantalla compartida VNC.
Hace algunos días, un investigador de seguridad apodado como mr.d0x intentó crear un ataque de phishing mientras realizaba una prueba de penetración para un cliente.
De primera instancia, el investigador configuró un ataque de phishing utilizando el marco de ataque Evilginx2 que actúa como un proxy inverso para robar credenciales o códigos MFA. Sin embargo, al llevar a cabo su prueba, mr.d0x descubrió que Google bloqueaba el inicio de sesión cuando detectaba proxies inversos o ataques del tipo man-in-the-middle (MiTM).
Fue así como creó la nueva técnica de phishing, haciendo uso del software de acceso remoto noVNC y de los navegadores que se ejecutan en modo kiosco, para mostrar la solicitud de inicio de sesión del correo electrónico que se ejecuta en el servidor del atacante y se muestra en el navegador de la víctima.
Es preciso destacar que uno de los impedimentos más grandes para los intentos de phishing, es el lograr eludir la autenticación multifactor (MFA) configurada en las cuentas de correo electrónico de los usuarios objetivo, por lo tanto, esta nueva amenaza presupone un gran riesgo para futuras víctimas.
Para llevar a cabo un ataque exitoso, el atacante necesita configurar un servidor con noVNC, ejecutar un navegador en modo kiosco y dirigirse al sitio web que quiere que el usuario autentique. Posteriormente, el atacante debe enviar al usuario una URL mediante el uso de correos electrónicos de spearphishing. Si el usuario da click en el enlace, este estará accediendo automáticamente a la sesión VNC en el servidor remoto controlado por el atacante, sin que él mismo pueda darse cuenta de ello.
VNC es un software de acceso remoto que le permite a los usuarios controlar el escritorio de otro usuario conectado. Por otro lado, el programa noVNC permite a los usuarios conectarse a un servidor VNC desde un navegador, dando click en un enlace.
Una vez que el usuario ha iniciado sesión, el atacante puede utilizar diferentes herramientas para robar sus credenciales o tokens de seguridad. Además, puede eludir por completo la autenticación multifactor, gracias a que el usuario habrá introducido su clave directamente en el servidor del atacante. Por último, aunque esta técnica de phishing aún no está siendo explotada activamente en la red, se le recomienda a los usuarios seguir una serie de precauciones para evitar ser víctima de ataques de este tipo. Recomendaciones: Por el momento, se le recomienda a todos los administradores no dar click en URLs o archivos que provengan de correos electrónicos desconocidos. Referencias: https://mrd0x.com/bypass-2fa-using-novnc/ https://cyware.com/news/new-phishing-technique-uses-remote-access-software-eb6b63d4/?web_view=true
|
SÍGUENOS