El ataque man-in-the-middle puede usarse para una variedad de propósitos, incluido el robo de credenciales y la inyección de código malicioso. Un nuevo método de phishing engaña a los usuarios con una herramienta de apoyo informático.
Un investigador de seguridad informática ha documentado una nueva técnica de phishing. Esta involucra a los ciberdelincuentes que aprovechan la tecnología de computación de red virtual (VNC) en un servidor privado para lanzar una variedad de ataques.
Usando el cliente noVNC de código abierto, la técnica de phishing permite a los atacantes lanzar código malicioso en el navegador de la víctima. Pueden también plantar un registrador de tecleo y observar pasivamente toda la actividad del usuario.
El investigador, que se hace llamar mr.d0x. afirma que el método de ataque pasa por alto la autenticación de dos factores (2FA). Esto incluye el protocolo 2FA de Google usado para cuentas Gmail y de Google. Con esto, facilita aún más el robo de credenciales.
Un nuevo método de phishing engaña a los usuarios con una herramienta de apoyo informático
El método actúa efectivamente como un cliente VNC para que el atacante controle y acceda de forma remota al entorno de un usuario, creando un ataque de intermediario (MITM).
La tecnología es común en las empresas modernas, y los empleados están familiarizados con los equipos de soporte de IT que acceden a sus ordenadores de forma remota para resolver problemas técnicos.
El engaño inicial se logra en un formato típico del phishing: un correo electrónico diseñado estratégicamente. Este proporciona un enlace en el que el usuario debe hacer clic. Después se lleva al usuario a un servidor directo ejecutado por el atacante, en lugar de a una página web maliciosa.
El ataque se puede lanzar contra personas que usen cualquier navegador, incluidos en teoría los de dispositivos móviles. Sin embargo, el investigador dijo que tenían dificultades para ejecutar el ataque en smartphones.
Hay algunas deficiencias con el método, dijo el investigador. Incluye aquí el problema por el cual el atacante tiene que proporcionar el control de su máquina a la víctima para que el ataque funcione. También es posible que dada la naturaleza del software VNC, pueda haber un retraso de entrada notable para la víctima. Esto ofrece una indicación de que el sitio web no es legítimo.
Este es actualmente un estilo de prueba de concepto de ataque de phishing sin casos conocidos de explotación activa. Sin embargo, según se informa, el acceso remoto a empresas ha aumentado en una serie de operaciones florecientes de la dark web.
«Los navegadores son más poderosos que nunca y el uso de navegadores como clientes para el acceso remoto brinda nuevas formas para que los atacantes roben credenciales, eludan 2FA y más». Esto es lo que dijo el investigador. «Creo firmemente que lo que he demostrado en este artículo es sólo una pequeña parte de para qué se puede usar esta técnica».