Imagen: Piotr Duszyński
Una nueva herramienta de prueba de penetración publicada a principios de año por un investigador de seguridad puede automatizar los ataques de phishing con una facilidad nunca antes vista e incluso puede superar las operaciones de inicio de sesión para cuentas protegidas por autenticación de dos factores (2FA).
Llamada Modlishka (la pronunciación inglesa de la palabra polaca para mantis), esta nueva herramienta fue creada por un investigador polaco Piotr Duszyński.
Modlishka es lo que los profesionales de TI llaman un proxy inverso, pero modificado para manejar el tráfico destinado a páginas de inicio de sesión y operaciones de phishing.
Imagen: Wikimedia Commons
Se encuentra entre un usuario y un sitio web de destino, como Gmail, Yahoo o ProtonMail. Las víctimas de phishing se conectan al servidor Modlishka (que aloja un dominio de phishing) y el componente de proxy inverso detrás de él realiza solicitudes al sitio que desea suplantar.
La víctima recibe contenido auténtico del sitio legítimo (digamos, por ejemplo, Google), pero todo el tráfico y todas las interacciones de la víctima con el sitio legítimo pasan y se registran en el servidor Modlishka.
Imagen: Piotr Duszyński
Cualquier contraseña que un usuario pueda ingresar se registra automáticamente en el panel backend de Modlishka, mientras que el proxy inverso también solicita a los usuarios tokens 2FA cuando los usuarios han configurado sus cuentas para solicitar uno.
Si los atacantes están disponibles para recolectar estos tokens 2FA en tiempo real, pueden usarlos para iniciar sesión en las cuentas de las víctimas y establecer sesiones nuevas y legítimas.
El siguiente video muestra cómo un sitio de phishing impulsado por Modlishka carga contenido sin problemas desde la interfaz de inicio de sesión real de Google sin usar plantillas, y registra las credenciales y cualquier código 2FA que un usuario pueda estar viendo.
Debido a este diseño simple, Modlishka no utiliza “plantillas”, un término utilizado por los phishers para describir clones de sitios legítimos. Dado que todo el contenido se recupera del sitio legítimo en tiempo real, los atacantes no necesitan dedicar mucho tiempo a actualizar y ajustar las plantillas.
En cambio, todo lo que los atacantes necesitan es un nombre de dominio de phishing (para alojar en el servidor Modlishka) y un certificado TLS válido para evitar alertar a los usuarios sobre la falta de una conexión HTTPS.
El último paso sería configurar un archivo de configuración simple que descargue a las víctimas en los sitios legítimos reales al final de la operación de phishing, antes de que detecten el dominio de phishing que parece incompleto.
En un correo electrónico a Duszyński describió Modlishka como un sistema de apuntar y hacer clic y fácil de automatizar que requiere un mantenimiento mínimo, a diferencia de los kits de herramientas de phishing anteriores utilizados por otros evaluadores de penetración.
“En el momento en que comencé este proyecto (que fue a principios de 2018), mi objetivo principal era escribir una herramienta fácil de usar, que eliminara la necesidad de preparar plantillas de páginas web estáticas para cada campaña de phishing que estaba llevando a cabo”. nos dijo el investigador.
“El enfoque de crear un proxy inverso universal y fácil de automatizar, como actor MITM, parecía ser la dirección más natural. A pesar de algunos desafíos técnicos que surgieron en este camino, el resultado general pareció ser realmente gratificante”, añadió .
“La herramienta que escribí es una especie de cambio de juego, ya que se puede usar como un proxy de 'apuntar y hacer clic', que permite una fácil automatización de campañas de phishing con soporte completo de 2FA (una excepción a esto es un protocolo U2F basado en tokens). (que es actualmente el único segundo factor resistente).
“Hay algunos casos que requieren ajuste manual (debido a código JavaScript ofuscado o, por ejemplo, atributos de seguridad de etiquetas HTML como 'integridad'), pero estos son totalmente compatibles con la herramienta y también se mejorarán en futuras versiones”, Duszyński dijo .
Un informe de Amnistía Internacional publicado en diciembre mostró que los actores avanzados patrocinados por el estado ya han comenzado a utilizar sistemas de phishing que pueden eludir la 2FA.
Ahora, muchos temen que Modlishka reduzca la barrera de entrada para permitir que los llamados “script kiddies” establezcan sitios de phishing en cuestión de minutos, incluso con muchas menos habilidades técnicas requeridas. Además, esta herramienta permitiría a los grupos de delitos cibernéticos automatizar fácilmente la creación de páginas de phishing que son más fáciles de mantener y más difíciles de detectar por las víctimas.
Cuando le preguntamos por qué lanzó una herramienta tan peligrosa en GitHub, Duszyński tuvo una respuesta bastante intrigante.
“Tenemos que afrontar el hecho de que sin una prueba de concepto funcional, que realmente pruebe el punto, el riesgo se trata como teórico y no se toman medidas reales para abordarlo adecuadamente”, afirmó.
“Este status quo, y la falta de conciencia sobre el riesgo, es una situación perfecta para actores maliciosos que felizmente lo explotarán”.
Duszyński dijo que si bien su herramienta puede automatizar el proceso de un sitio de phishing que pasa por comprobaciones 2FA basadas en SMS y códigos de un solo uso, Modlishka es ineficiente contra los esquemas basados en U2F que dependen de claves de seguridad de hardware.
Modlishka está actualmente disponible en GitHub bajo una licencia de código abierto. También hay información adicional disponible en el blog de Duszyński.
Cibercrimen y malware, predicciones para 2019