El grupo de investigadores de ciberamenazas de Palo Alto Networks, Unit 42, alertó sobre los ataques de phishing recientes, denominados Meddler in the Middle (MitM), los cuales evaden técnicas tradicionales.
Como parte de la capacitación de usuarios para evitar los ciberataques de este tipo, se aconseja dudar de correos con fallas visibles, como errores ortográficos. Sin embargo, los MitM pueden eludir muchos motores de detección de phishing basados en contenido, advirtió en un comunicado.
En los ataques de phishing tradicionales, se suele crear un sitio para imitar una página de inicio de sesión legítima, estas pueden alojarse en un dominio recién creado, comprometer un dominio legítimo o usar una plataforma SaaS existente.
Los MitM son capaces de romper la autenticación de dos factores. En lugar de mostrar una versión falsificada de una página de inicio de sesión de destino, utilizan un servidor proxy inverso para transmitir la página de inicio de sesión original directamente al navegador del usuario.
La inversión en solución de ataques y control de daños no es suficiente, pues estar prevenidos con información actualizada y defensas de última generación es vital para evitar que estos atentados afecten a los usuarios y las empresas que están cada vez más expuestos.
Ataques MitM, cada vez más populares
A partir de noviembre de 2022, varios ataques de phishing han utilizado tácticas MitM para comprometer las cuentas de correo electrónico comerciales y robar con éxito la información confidencial de las organizaciones.
Según Unit 42, en la actualidad hay varios kits de herramientas de phishing MitM populares que facilitan a los ciberdelincuentes lanzar sus propios ataques con solo unos pocos clics. Estos, agrega, amplían continuamente sus conjuntos de funciones y, al mismo tiempo, se vuelven más intuitivos y fáciles de usar.
Se espera que la prevalencia de los ataques de phishing de MitM aumente, a medida que su popularidad crece y amplian su conjuntos de funciones, indicó el grupo de investigadores de ciberamenazas de Palo Alto Networks.
Incluso, la empresa predice que la próxima versión del marco de ataque utilizado para credenciales de phishing junto con cookies de sesión Evilginx 3.0 se lance en un futuro cercano, junto con un curso en línea sobre cómo ejecutarlo con éxito.
Scitum, de Telmex, ofrecerá servicios de XDR con tecnología de Palo Alto Networks
Medidas preventivas
Unit 42 señaló que por el momento, las acciones que los usuarios finales pueden tomar para protegerse contra este tipo de ataques incluyen la verificación de la validez de una URL.
Antes de ingresar cualquier credencial, recomendó, se puede usar un administrador de contraseñas para almacenar e ingresar credenciales, ya que si se encuentra en una página de phishing de MitM alojada en un sitio web que el administrador de contraseñas no reconoce, el administrador de contraseñas le avisará antes de ingresar sus credenciales.
También pueden usarse métodos MFA más actualizados, como claves de seguridad de hardware o WebAuthn 2FA.