En los últimos meses, ha surgido un nuevo conjunto de herramientas de phishing conocido como envenenamiento, dirigido a usuarios individuales y organizaciones empresariales con sofisticación sin precedentes.
A diferencia de los kits de phishing tradicionales que cosechan solo nombres de usuario y contraseñas, la intoxicación emplea un enfoque adversario en el medio (AITM) para interceptar tokens de autenticación multifactor (MFA) y cookies de sesión.
Las víctimas reciben correos electrónicos de phishing de lanza disfrazados de notificaciones de correo electrónico a granel legítimo o proveedores de CRM, como SendGrid y MailChimp.
Los enlaces integrados agregan la dirección de correo electrónico cifrada del objetivo directamente en la URL, lo que permite el phishing validado por precisión que verifica la autenticidad antes de presentar las indicaciones de inicio de sesión fraudulentas.
La infraestructura del kit de herramientas se basa en React, con un diseño modular que incluye una página de desafío de tendencia de Faux Cloudflare, formularios de inicio de sesión personalizados y soporte para múltiples canales 2FA (SMS, códigos de correo electrónico, aplicaciones de autenticador y claves API).
La entrega inicial a menudo aprovecha los dominios comprometidos de marketing o CRM para evadir los filtros de spam. Cuando los destinatarios hacen clic en el enlace, aterrizan en una página de verificación por etapas que imita un desafío Captcha.
Cadena de ataque de phishing de envenenamiento (fuente – NVISO Labs)
Detrás de escena, una llamada API a /API /Check-Email valida que el parámetro de correo electrónico cifrado corresponde a una cuenta no prohibida. Solo tras la validación exitosa, el kit procede a capturar credenciales.
Analistas de NVISO Labs identificado Entrenada como una variante alineada con los grupos de araña y criptochameleon dispersos, conocidos colectivamente como “The Com”, rastreando patrones de registro de dominio y opciones de alojamiento.
Todos los dominios conocidos se registraron a través de NICENIC y se alojaron en CloudFlare o CDN similares, explotando la ofuscación del servidor de nombres para obstaculizar los esfuerzos de eliminación. Al automatizar la creación de dominio y la infraestructura giratoria, el adversario mantiene un punto de apoyo persistente.
Una vez que se cosechan las credenciales, los atacantes reproducen solicitudes de inicio de sesión contra la API del Servicio Legítimo, transmitiendo códigos de MFA y, en última instancia, aseguran cookies de sesión válidas que otorgan el control completo de la cuenta.
Después de la adquisición de credenciales, la intoxicación automatiza la exportación a granel de listas de contactos y secuestros por correo electrónico para distribuir campañas de spam relacionadas con las criptomonedas.
Más allá del spam, el conjunto de herramientas se ha observado en ataques específicos contra individuos de alto perfil, incluido un compromiso reciente de la lista de correo de MailChimp de un investigador de seguridad y una configuración de phishing de migración de billetera fraudulenta en una importante plataforma de criptomonedas.
Mecanismo de infección: phishing y explotación de AITM validada por precisión
En el corazón del mecanismo de infección del envenenamiento se encuentra la técnica de phishing validada de precisión, lo que garantiza que solo los objetivos previstos completen el proceso de captura de credenciales.
Cuando una víctima llega a la URL inicial, el componente React Turnstilechallenge.jsx extrae el parámetro de consulta de correo electrónico cifrado y emite una solicitud de publicación de fondo:–
useEffect (() => {const cifrados en cifrado = new UrlSearchParams (ubicación.search) .get (‘correo electrónico’); if (! CiRypTedEmail) {window.location.href = “https://www.google.com”; return;} axios.post (`$ {api_url}/check-email ‘, {correaje: {correaje: {correaje: miil: concrym. }) .then (respuesta => {if (respuesta.data.valid &&! Response.data.banned) {setisChecked (true);} else {clearSession (); navigate (‘/verify’, {reemplazar: true});}}) .Catch (() => {clareSession (); navigate (‘/verify’, reemplazar:}:});}); }, (ubicación, navegación));
Una vez que pasa la validación, se establece un indicador de sesión (FaketurnStileVerified) en el almacenamiento de la sesión, lo que permite que la víctima proceda al formulario de inicio de sesión.
En esta etapa, el envoltorio protegido en APP.JSX hace cumplir la verificación antes de renderizar el componente de inicio de sesión, redirigiendo cualquier solicitud no verificada a /verificar.
El formulario de inicio de sesión captura el nombre de usuario y la contraseña, los transmite al backend legítimo y espera un desafío MFA.
Dependiendo del segundo factor configurado de la cuenta, el kit presenta uno de varios componentes React: twofactorsms.jsx, twofactoremail.jsx, twofactorga.jsx o apikeyverification.jsx) diseñado para imitar la UI del servicio genuino mientras se reenvía los códigos al proveedor real.
Al actuar como un retransmisión AITM, el envenenado proxera transparentemente todo el tráfico de autenticación. Tan pronto como la víctima envía un código único o una clave API, el kit captura cookies de sesión emitidas por el servicio legítimo y las almacena en el backend del atacante.
Estas cookies permiten que el adversario omita MFA por completo en sesiones posteriores, otorgando acceso sin restricciones a la cuenta de la víctima.
Descripción general del kit de phishing de intoxicación (fuente – NVISO Labs)
El kit de phishing ilustra este flujo de ataque, destacando la intercepción perfecta de los tokens de autenticación.
A través de esta intrincada combinación de engaño frontal y retransmisión de backend, el envenenamiento ejemplifica cómo los kits de phishing modernos pueden eludir incluso las defensas de MFA robustas, lo que subraya la necesidad urgente de métodos de autenticación resistentes a phishing.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
