Nueva técnica de phishing utiliza software de acceso remoto

Una nueva técnica de phishing permite a los ciberdelincuentes evitar la autenticación multifactor (MFA). La técnica consiste en hacer que las víctimas inicien sesión en una de sus cuentas en servidores controlados por atacantes utilizando VNC (Virtual Network Computing, es decir, control remoto de un equipo). Un investigador de seguridad -llamado mr.d0x- estaba realizando pruebas […]

Una nueva técnica de phishing permite a los ciberdelincuentes evitar la autenticación multifactor (MFA).

La técnica consiste en hacer que las víctimas inicien sesión en una de sus cuentas en servidores controlados por atacantes utilizando VNC (Virtual Network Computing, es decir, control remoto de un equipo).

Un investigador de seguridad -llamado mr.d0x- estaba realizando pruebas de seguridad para una empresa y terminó creando un ataque de phishing hacia los empleados para obtener las credenciales de la cuenta.

El investigador creó un ataque utilizando un software de acceso remoto (noVNC) y navegadores que se ejecutan en modo kiosco (este modo permite que los usuarios utilicen una única ventana de su computador. Es decir, bloquea el acceso del usuario) para mostrar un aviso de inicio de sesión de correo electrónico que se ejecuta en el servidor del atacante que se muestra en el navegador de la víctima.

Hablando técnicamente, en el ataque se utilizó el marco de ataque Evilginx2, que actúa como un proxy inverso para robar credenciales/códigos MFA.

Esta técnica de phishing elude la MFA ya que el usuario ingresará el código de acceso único en el servidor del atacante directamente y también autorizará el dispositivo para futuros inicios de sesión.

VNC

Permite a los usuarios remotos conectarse y controlar el escritorio de un usuario que ha iniciado sesión. Sin embargo, el software noVNC (un cliente de VNC) permite a los usuarios conectarse a un servidor VNC desde un navegador simplemente haciendo clic en un enlace.

El objetivo de estos ataques es hacer que los usuarios hagan clic en un enlace malicioso personalizado que engaña a las víctimas como si estuvieran trabajando en su propio navegador, mientras opera en la máquina remota a través de noVNC.

Para comenzar, el atacante debe configurar un servidor sin VNC, ejecutar cualquier navegador en modo kiosco y dirigirse al sitio web genuino que el atacante desea que el usuario autentique (por ejemplo, accounts.google.com).

Los atacantes envían un enlace al usuario objetivo, principalmente mediante correos electrónicos de phishing selectivo. Estos enlaces iniciarán automáticamente el navegador del objetivo e iniciarán sesión en el servidor VNC remoto del atacante sin darse cuenta.

Los enlaces son personalizables y no parecen URL de inicio de sesión de VNC sospechosas. Cuando una víctima hace clic en un enlace, simplemente verá una pantalla de inicio de sesión.

Una vez que un usuario inicia sesión, el atacante puede usar diferentes herramientas para robar credenciales o tokens de seguridad.

Aunque esta técnica no se ha visto en ciberataques reales, el mismo investigador señaló que es probable que se vea prontamente, sobre todo porque los ciberdelincuentes buscan nuevos métodos día a día.