Phishing: La “Autenticación en Dos Pasos” ha sido quebrada

La verificación en dos pasos, también llamada autenticación en dos factores o doble factor (2AF), es un sistema que añade una capa de seguridad a tus cuentas al iniciar sesión. Durante los últimos años su uso se ha ido masificando de forma enorme y ha sido adoptado por numerosas compañías. Ejemplo de ello es la implementación de este sistema por parte de Google.

Pero, ¿cómo funciona esta nueva capa de seguridad?  En simples palabras, con este sistema no basta solo con tener la contraseña para iniciar sesión; sino que además, el sistema te pedirá confirmar tu identidad de otra forma. Puede ser con un código que envíen a tu teléfono mediante SMS, una llamada, o incluso huellas dactilares.

Lo que ha llamado la atención a los investigadores en este ultimo tiempo, es que los ciberdelincuentes han logrado engañar a los usuarios con técnicas de phishing para derribar la protección de los sistemas 2FA.

Los ciberdelincuentes puede construir páginas web que simulen la interfaz de alguna página, por ejemplo, de Facebook. Cuando la víctima intente loguearse en el sitio, ingresará sus credenciales de acceso, pero también le pedirá el segundo factor de autenticación que le llegará vía SMS; luego de ingresarlo, esta réplica redirigirá a la víctima al sitio oficial sin causar ninguna sospecha. El atacante capturará los datos del inicio de sesión, y la víctima ni siquiera se habrá percatado de que pudo ocurrir algo así.

La clave de lo anterior está en las APIs (Application Programming Interface) de estos sistemas. Los sitios maliciosos las utilizan para verificar efectivamente las credenciales de acceso de la víctima al sitio en cuestión. Lo interesante de este nuevo tipo de ataque es que permite guardar la información de sólo los inicios de sesión validados. De esta manera, y por el contrario de los phishings clásicos, el atacante se ahorra una gran cantidad de tarea al sólo tener datos que serán válidos.

Muraena y NecroBrowser:

Todo lo que hemos mencionado anteriormente implica un alto grado de conocimientos por parte de los atacantes, y una sofisticación a alto nivel de la técnica de phishing clásica; Muraena y NecroBrowser van un paso más allá. Estas dos herramientas tienen como objetivo automatizar estos ataques de phishing y así eludir la autenticación en dos pasos.

Muraena es un proxy inverso, mientras que NecroBrowser es un contenedor Docker para automatizar instancias Chromium. Básicamente estas herramientas son las que ayudan a enviar las solicitudes legítimas a los sitios web de los cuales se quiere obtener el acceso. Veamos cómo funciona cada una de ellas:

Muraena, una vez que ha sido desplegada, permite al atacante configurar un dominio de suplantación de identidad, y así obtener un certificado legítimo para él. Además, la herramienta contiene un servidor web que actúa como un proxy inverso, al contener un rastreador que determina automáticamente los recursos proxy del sitio legítimo. Muraena por tanto reescribe de forma ‘transparente’ las solicitudes recibidas de la víctima antes de transmitirlas (mediante la generación de un archivo de configuración JSON). Una vez que la víctima ya ha ingresado al sitio web malicioso, que cuenta con dicha tecnología, el proceso de inicio de sesión funcionará exactamente igual como en el sitio real. Cuando se proporcionan los datos, el proxy roba los cookies de la sesión y Muraena enviará automáticamente las cookies recopiladas a una segunda herramienta: NecroBrowser, que puede comenzar a abusar de ellas.

NecroBrowser, es un microservicio que puede controlarse a través de una API, y configurarse para realizar acciones a través de instancias Chromium, que se ejecutarán dentro de contenedores Dockers. Dependiendo de los recursos del atacante, y su servidor, el ciberdelincuente puede generar docenas o cientos de estos contenedores de forma simultánea, cada uno con una cookie de sesión robada.

El problema que viene ahora es que todas estas instancias de sesiones robadas pueden automatizarse aún más para realizar distintas acciones: tomar capturas de correos electrónicos, restablecer contraseñas, recopilar información de los contactos de la cuenta, o incluso para enviar mensajes phishing del mismo tipo a los contactos de la víctima. De esta manera se crea algo similar a lo que conocemos como una botnet.

Fuente: https://blog.nivel4.com