Campaña de phishing ataca a dependencias del gobierno mexicano usuarias de Microsoft 365
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y líder del Capítulo Querétaro de la Fundación OWASP.
Recientes campañas maliciosas de correo electrónico han sido identificadas utilizando un kit de phishing como servicio (PhaaS) conocido como Rockstar 2FA, diseñado específicamente para robar credenciales de cuentas de Microsoft 365.
Esta campaña emplea un ataque AitM [adversario en el medio], una forma avanzada de ataque Man-in-the-Middle (MitM) donde un atacante intercepta y manipula comunicaciones entre dos partes sin que estas lo detecten. A diferencia del MitM tradicional, el AitM puede superar protecciones como la autenticación multifactor (MFA), ya que el atacante actúa como un proxy entre el usuario y el servidor, capturando credenciales, tokens de acceso o datos sensibles en tiempo real. Esto permite al atacante suplantar la identidad de la víctima, incluso en sesiones consideradas seguras, para llevar a cabo fraudes, robos de información o accesos no autorizados.
Este kit de phishing, al igual que versiones anteriores, se promociona en plataformas como ICQ, Telegram y Mail.ru, ofreciendo un modelo de suscripción de $200 por dos semanas o $350 por un mes. Este enfoque facilita que incluso ciberdelincuentes con poca o nula experiencia técnica puedan lanzar campañas a gran escala.
Rockstar 2FA se promociona destacando capacidades como la evasión de la autenticación de dos factores (2FA), la captura de cookies relacionadas con 2FA, protección contra bots, páginas de inicio de sesión que replican servicios populares, enlaces totalmente indetectables (FUD) e integración con bots de Telegram. Además, ofrece un panel de administración intuitivo que permite a los usuarios monitorear sus campañas de phishing, generar enlaces y archivos adjuntos, y personalizar los temas de las páginas utilizadas en los ataques.
Estas campañas de correo electrónico emplean múltiples vectores de acceso inicial, como enlaces URL, códigos QR y documentos adjuntos, que se integran en mensajes enviados desde cuentas comprometidas o herramientas de spam. Los correos incluyen diversas plantillas de señuelo, como notificaciones de intercambio de archivos o solicitudes de firmas electrónicas.
Para evadir la detección de filtros de correo no deseado, se aprovechan redireccionadores legítimos, como enlaces acortados, redirecciones abiertas o servicios de protección y reescritura de URL. Además, el kit incorpora controles antibot mediante Cloudflare Turnstile, dificultando el análisis automatizado de las páginas de phishing AitM.
La plataforma aprovecha servicios legítimos como Atlassian Confluence, Google Docs Viewer, LiveAgent, Microsoft OneDrive, OneNote y Dynamics 365 Customer Voice para alojar enlaces de phishing, explotando la confianza asociada a estas herramientas.
Las páginas de phishing están diseñadas para replicar con alta precisión las interfaces de inicio de sesión de organizaciones objetivo, incluidas varias dependencias del gobierno de México, que figuran entre las más vulnerables a este tipo de suplantación. Estas páginas emplean múltiples niveles de ofuscación en el código HTML para dificultar su detección. Los datos proporcionados por las víctimas se envían directamente al servidor AiTM, donde las credenciales exfiltradas se utilizan para obtener la cookie de sesión de la cuenta comprometida. Algunas de las dependencias gubernamentales más expuestas a este tipo de imitación son:
- Instituto Mexicano del Seguro Social (IMSS)
- Servicio de Administración Tributaria (SAT)
- Gobierno del Estado de Yucatán
- Gobierno del Estado de Tabasco
- Canal del Congreso
- Unidad De Especialidades Médicas del Estado de Baja California
- Organismo Operador Municipal de Agua Potable, Alcantarillado y Saneamiento de Cajeme del Estado de Sonora
- Congreso del Estado de Yucatán
- Sistema Operador de los Servicios de Agua Potable y Alcantarillado del Municipio de Atlixco del Estado de Puebla
- Agua y Saneamiento de Toluca del Estado de México
- Sistema Integral del Aseo Público de León del Estado de Guanajuato
- Gobierno del Estado de Colima
- Consejo de Ciencia y Tecnología del Estado de Tabasco
- Ayuntamiento de Champotón del Estado de Campeche
- Secretaría del Agua y Medio Ambiente del Gobierno del Estado de Zacatecas
- Secretaría de Asuntos Parlamentarios del Estado de México
Para protegerse contra amenazas como Rockstar 2FA, es fundamental implementar medidas avanzadas de seguridad, como autenticación multifactor robusta basada en hardware o biometría que no dependa únicamente de códigos SMS o cookies. También es clave educar a los usuarios para identificar intentos de phishing y verificar cuidadosamente las URL antes de ingresar credenciales. Las organizaciones deben emplear soluciones de detección y respuesta contra amenazas (XDR), monitoreo continuo de accesos sospechosos, y herramientas que inspeccionen enlaces en tiempo real para identificar redirecciones maliciosas, además de limitar los permisos de acceso a cuentas sensibles.
Para mayor información, visite: https://www.silikn.com/