Se ha observado que una nueva plataforma de phishing como servicio (PhaaS) llamada Mamba 2FA apunta a cuentas de Microsoft 365 en ataques AiTM utilizando páginas de inicio de sesión bien diseñadas.
Además, Mamba 2FA proporciona a los actores maliciosos un mecanismo de adversario en el medio (AiTM) para capturar tokens de autenticación de víctimas y eludir las protecciones de autenticación multifactor (MFA) en sus cuentas.
Mamba 2FA se vende actualmente a ciberdelincuentes por 250 dólares al mes, un precio competitivo que la posiciona entre las plataformas de phishing más atractivas y de más rápido crecimiento de la industria.
Descubrimiento y evolución
Mamba 2FA fue documentado por primera vez por Any.Run analistas a finales de junio de 2024, pero Informes Sekoia que ha estado rastreando la actividad vinculada a la plataforma de phishing desde mayo de 2024.
Evidencia adicional muestra que Mamba 2FA ha apoyado campañas de phishing desde noviembre de 2023, y el kit se vendió en ICQ y luego en Telegram.
Tras el informe de Any.Run sobre una campaña respaldada por Mamba 2FA, los operadores del kit de phishing han realizado varios cambios en su infraestructura y métodos para aumentar el sigilo y la longevidad de las campañas de phishing.
Por ejemplo, a partir de octubre, Mamba 2FA introdujo servidores proxy de IRoyal, un proveedor comercial, para ocultar las direcciones IP de los servidores de retransmisión en los registros de autenticación.
Anteriormente, los servidores de retransmisión se conectaban directamente a los servidores Microsoft Entra ID, exponiendo las direcciones IP y facilitando los bloqueos.
Los dominios de enlace utilizados en URL de phishing ahora tienen una vida muy corta y normalmente se actualizan semanalmente para evitar que las soluciones de seguridad los incluyan en la lista negra.
Otro cambio fue mejorar los archivos adjuntos HTML utilizados en campañas de phishing con contenido de relleno inofensivo para ocultar un pequeño fragmento de JavaScript que desencadena el ataque, lo que dificulta la detección de las herramientas de seguridad.
Los usuarios “morder” de Microsoft 365
Mamba 2FA está diseñado específicamente para usuarios de servicios de Microsoft 365, incluidas cuentas empresariales y de consumidores.
Al igual que otras plataformas PhaaS similares, utiliza retransmisiones de proxy para realizar ataques de phishing AiTM, lo que permite a los delincuentes acceder a códigos de acceso de un solo uso y cookies de autenticación.
El mecanismo AiTM utiliza la biblioteca JavaScript Socket.IO para establecer comunicación entre la página de phishing y los servidores de retransmisión en el backend, que a su vez se comunican con los servidores de Microsoft utilizando los datos robados.
Mamba 2FA ofrece plantillas de phishing para varios servicios de Microsoft 365, incluidos OneDrive, SharePoint Online, páginas de inicio de sesión genéricas de Microsoft y notificaciones de correo de voz falsas que redirigen a una página de inicio de sesión de Microsoft.
Para las cuentas corporativas, las páginas de phishing adoptan dinámicamente la marca de inicio de sesión personalizada de la organización objetivo, incluidos logotipos e imágenes de fondo, lo que hace que el intento parezca más auténtico.
Las credenciales capturadas y las cookies de autenticación se transmiten al atacante a través de un bot de Telegram, lo que le permite iniciar sesión inmediatamente.
Mamba 2FA también ofrece detección de zona de pruebas, redirigiendo a los usuarios a las páginas web 404 de Google cuando infiere que están siendo escaneadas.
En general, la plataforma Mamba 2FA plantea una nueva amenaza para las organizaciones, ya que permite a actores poco cualificados llevar a cabo ataques de phishing muy eficaces.
Para protegerse contra las operaciones PhaaS utilizando tácticas AiTM, considere el uso de claves de seguridad de hardware, autenticación basada en certificados, bloqueo geográfico, listas de IP permitidas, listas de IP permitidas, dispositivos y una reducción en la vida útil de los tokens.