Un grupo de investigadores de la Universidad Stony Brook en Nueva York y la compañía Palo Alto Networks han hallado una nueva técnica de toma de fingerprints (o huellas digitales) que hace posible identificar los kits de phishing MitM (Man-in-the-Middle) aprovechando las propiedades intrínsecas a nivel de red y permite automatizar el descubrimiento y análisis de sitios web de phishing.
Denominada "PHOCA" (en honor a la palabra usada en latín para "sellos"), la tecnología no solo facilita el descubrimiento de kits de herramientas de phising MitM nunca antes vistos, sino que también se usa para detectar y aislar soluciones maliciosas provenientes de dichos servidores.
Según se explica en TheHackerNews, los kits de herramientas de phishing tendrían por objetivo automatizar y agilizar el trabajo que suelen llevar a cabo los ciberdelincuentes para sus campañas de robo de credenciales.
Suele tratarse de archivos ZIP empaquetados que vienen con plantillas de phishing de email preparadas para su uso, así como copias de páginas web de servicios legítimos. Así, los hackers lo tienen muy fácil para hacerse pasar por las entidades objetivo con el fin de pillar a las víctimas desprevenidas y extraer de ellas su información privada.
La implantación de autenticación de dos factores por muchos servicios digitales habría frenado el impacto de estos conjuntos de herramientas de phising tradicionales.
Un conjunto de herramientas de phising MitM, sin embargo, da a la posibilidad a los actores de amenazas de situarse entre una víctima y un servicio online. En lugar de configurar sitios webs falsos que simulan la apariencia de los reales y se distribuye mediante email, los atacantes implementan una página web que refleja el contenido en vivo del sitio de destino y actúa como un conducto para reenviar solicitudes y respuestas entre ambas parte en tiempo real. Esto permite la extracción de credenciales y cookies de sesión incluso con autenticación de dos factores.
El método que han descubierto los investigadores se sirve, entre otras cosas, de la discrepancias en el tiempo re red para clasificar los sitios web de phising alojados por los kits de herramientas de phising de MitM en servidores proxy inversos. La idea es medir los tiempos de ida y vuelta que surgen al colocar uno de estos kits.
Más de 1.200 sitios identificados
En la investigación realizada, que se llevó a cabo entre el 25 de marzo de 2020 y el 25 de marzo de 2021, se descubrieron un total de 1.220 sitios operados con kits de phishing MitM dirigidos a populares servicios digitales para tratar de robar las credenciales de sus usuarios y realizar un seguimiento posterior.
Estaban dispersos principalmente en los EE.UU. y Europa y dependían de los servicios de alojamiento de Amazon, DigitalOcean, Microsoft y Google. Algunas de las marcas a las que más se dirigieron estos kits incluyen Instagram, Google, Facebook, Microsoft Outlook, PayPal, Apple, Twitter, Coinbase, Yahoo y LinkedIn.
"PHOCA puede integrarse directamente en la infraestructura web actual, como los servicios de listas de bloqueo de phishing, para ampliar su cobertura en los kits de herramientas de phishing de MitM, así como en sitios web populares para detectar solicitudes maliciosas que se originan en los kits de herramientas de phishing de MitM", han comentado los investigadores, quienes insisten en que los kits de herramientas pueden "mejorar la capacidad de los proveedores de servicios web para identificar solicitudes de inicio de sesión maliciosas y marcarlas antes de que se complete la autenticación".