Millones de usuarios utilizan Microsoft 365, el servicio de la empresa de Windows que reúne sus principales herramientas. Y, por desgracia, se acaba de descubrir que hay circulando una nueva amenaza de phishing que ataca las cuentas de estos usuarios. Su objetivo es robar tantas contraseñas y nombres de usuario como sea posible, aunque, al menos, la amenaza ya ha sido detectada.
Los hackers han desarrollado una plataforma para hacer ataques de phishing que ha sido bautizada como Rockstar 2FA y que está causando estragos. Los expertos en seguridad de Trustwave mencionan que se trata de una herramienta para cibercriminales que actúa haciendo ataques de tipo AiTM a gran escala, por lo que no se le debe perder la pista.
¿Qué es lo que hace exactamente?
El funcionamiento de esta plataforma les ayuda a los hackers a poder llevar a cabo ataques con una facilidad preocupante, puesto que se trata de un tipo de infección que se aprovecha de las cookies de sesión. Cuando un hacker pone el objetivo sobre una posible víctima, inician un ataque por email con el cual evitan las defensas que tienen los sistemas de protección MFA (los de varios factores).
Su efectividad es alta debido a que los hackers utilizan una página falsa que parece ser Microsoft 365 y que replica todos sus ingredientes de manera perfecta. En el momento en el que los usuarios han introducido su nombre de usuario y contraseña, el proceso ya es difícil de parar. Pero, lo peor de todo, es que los usuarios no saben en ningún momento qué es lo que ha ocurrido en el proceso de hackeo.
Eso se debe a que el servidor instalado por los hackers envía los datos de identificación a Microsoft y eso provoca que la identificación en el servicio se realice con éxito. A raíz de esto, Microsoft 365 envía una cookie al navegador del usuario y, en ese momento, el virus la caza al vuelo. Con esa cookie, los hackers ya pueden tener acceso a la cuenta de la víctima sin necesitar su nombre de usuario y contraseña y sin tener que pasar por otros procesos complejos de verificación. En ese momento, los hackers ya pueden hacer lo que quieran con la cuenta de sus víctimas.
Un ataque cada vez más utilizado
Lo que más preocupa a los especialistas es que este sistema de ataque está siendo cada vez más utilizado por hackers del mundo entero. En parte, porque comprarlo resulta demasiado fácil. Dicen estos expertos que lo están viendo circular por comunidades de Telegram por un precio de solo 200 dólares para un uso durante dos semanas con renovación de licencia por 180 dólares. También mencionan que han descubierto que se trata de una versión mejorada de Phoenix y DadSec, dos amenazas similares que se estuvieron utilizando durante el año 2023. Saber esto es, en realidad, una buena noticia, puesto que es posible que ayude a fortalecer las defensas a la hora de evitar incidentes.
Por lo que se ha comentado, Rockstar 2FA parece que también tiene capacidad para atacar Godaddy y Hotmail, entre otros servicios, mientras que se caracteriza por generar código aleatorio que ayuda a evitar sistemas de protección. Los análisis realizados hasta el momento descubren que, desde mayo de 2024, se han instalado más de 5.000 dominios con esta amenaza, por lo que es de imaginar que el nivel de víctimas desde entonces pueda ser realmente elevado.
¿Cómo evitar caer en la trampa de esta amenaza? Se recomienda ser cuidadosos, como de costumbre, con los correos electrónicos que recibimos. También podemos encontrarnos con notificaciones maliciosas en el email en las que nos compartan contenidos que no estamos esperando o recibir en el correo una alerta de reinicio de contraseña en la que nunca hay que hacer clic. Los hackers están usando esos correos para esconder su virus y así llevarte a esa página de identificación falsa que hemos mencionado antes. Por ello, incluso si recibes un mensaje como “tu contraseña puede estar en peligro, actualízala por una nueva”, recuerda comprobarlo todo a fondo antes de hacer clic en los enlaces que vienen en el correo.