Sumérjase en la evolución de las técnicas de phishing y evasión de malware y comprenda cómo los atacantes utilizan métodos cada vez más sofisticados para eludir las medidas de seguridad.
La evolución de los ataques de phishing
“Me gusta mucho el dicho de que ‘Esto está fuera de alcance’ que ningún hacker ha dicho nunca. Ya sean trucos, técnicas o tecnologías, los hackers harán cualquier cosa para evadir la detección y asegurarse de que su ataque tenga éxito”. dice Etay Maor, estratega jefe de seguridad de Cato Networks y miembro de Cato CTRL. Los ataques de phishing se han transformado significativamente a lo largo de los años. Hace 15 o 20 años, simples sitios de phishing eran suficientes para capturar la joya de la corona de la época: los datos de las tarjetas de crédito. Hoy en día, los métodos de ataque y defensa se han vuelto mucho más sofisticados, como detallaremos a continuación.
“Este es también el momento en el que comenzó el juego ataque-defensa del “gato y el ratón”,” dice Tal Darsan, director de seguridad y miembro de Cato CTRL. En ese momento, una importante técnica de defensa contra los sitios de phishing de tarjetas de crédito consistía en inundarlos con grandes volúmenes de números, con la esperanza de abrumarlos para que no pudieran identificar los detalles reales de la tarjeta de crédito.
Pero los actores de amenazas se adaptaron validando datos utilizando métodos como el algoritmo de Luhn para verificar tarjetas de crédito reales, verificando la información del emisor a través de números de identificación bancaria (BIN) y realizando microdonaciones para probar si la tarjeta estaba activa.
A continuación se muestra un ejemplo de cómo los atacantes validaron los números de tarjetas de crédito ingresados en sitios de phishing:
Técnicas anti-investigadores
A medida que el phishing se hizo más avanzado, los atacantes agregaron técnicas anti-investigación para evitar que los analistas de seguridad estudiaran y cerraran sus operaciones. Las estrategias comunes incluían el bloqueo de IP después de un acceso único para crear una falsa impresión de que el sitio de phishing estaba cerrado y la detección de servidores proxy, ya que los investigadores suelen utilizar servidores proxy cuando investigan.
El código del atacante para el acceso único a la dirección IP:
El código del atacante para la identificación del proxy:
Los atacantes también han estado aleatorizando las estructuras de carpetas en sus URL durante las últimas décadas, disuadiendo a los investigadores de rastrear sitios de phishing basándose en nombres de directorios comunes utilizados en los kits de phishing. Esto se puede ver en la imagen a continuación:
Evadir antivirus
Otra forma de evadir los controles de seguridad en el pasado era modificar las firmas de malware con servicios de cifrado. Esto lo hacía indetectable para los sistemas antivirus basados en firmas. A continuación se muestra un ejemplo de un servicio que alguna vez fue muy popular:
Evadir la verificación del dispositivo
Pasemos a otras técnicas de evasión modernas. En primer lugar, un ataque de phishing que se dirige a las víctimas recopilando información detallada del dispositivo (como la versión de Windows, la dirección IP y el software antivirus) para que los atacantes puedan hacerse pasar por el dispositivo de la víctima.
Estos datos les ayudan a eludir los controles de seguridad, como la verificación de identificación del dispositivo, que las organizaciones, como los bancos, utilizan para confirmar inicios de sesión legítimos. Al replicar el entorno del dispositivo de la víctima (por ejemplo, versión de Windows, detalles del reproductor multimedia, especificaciones de hardware), los atacantes pueden evitar sospechas al iniciar sesión desde diferentes ubicaciones o dispositivos.
Algunos servicios de la web oscura incluso proporcionan máquinas virtuales preconfiguradas que reflejan el perfil del dispositivo de la víctima (ver imagen a continuación), agregando una capa adicional de anonimato para los atacantes y permitiendo un acceso más seguro a las cuentas comprometidas. Esto demuestra cómo la ciencia de datos y la personalización se han convertido en parte integral de las operaciones criminales.
Evadir la detección de anomalías
Otro caso es cuando los defensores se enfrentaron a una banda que utilizaba malware para explotar sesiones bancarias en vivo, esperando a que las víctimas iniciaran sesión antes de realizar rápidamente transacciones no autorizadas. El desafío era que estas acciones parecían provenir de la propia sesión autenticada de la víctima, lo que dificultaba la detección.
Esto resultó en un juego del gato y el ratón entre atacantes y defensores:
- Inicialmente, los defensores implementaron una verificación de velocidad, señalando que las transacciones completadas demasiado rápido eran probablemente fraudulentas.
- En respuesta, los atacantes modificaron su código para simular la velocidad de escritura humana agregando retrasos entre las pulsaciones de teclas. Esto se puede ver en el siguiente código:
- Cuando los defensores se ajustaron a esto agregando controles de sincronización aleatorios, los atacantes respondieron con retrasos variables, mezclándose aún más con el comportamiento legítimo.
Esto ilustra la complejidad de detectar fraudes bancarios sofisticados y automatizados en medio de transacciones legítimas.
Ataques de phishing evasivos
Pasemos ahora a ataques más recientes. Uno de los ataques más destacados analizados por Cato CTRL incluyó un inteligente ataque de phishing diseñado para imitar el soporte de Microsoft. El incidente comenzó con un mensaje de error 403 que dirigía al usuario a una página que decía ser “soporte de Microsoft”, con indicaciones para “obtener la ayuda y el soporte adecuados”. La página presentaba opciones para soporte “Inicio” o “Empresa”, pero independientemente de la opción elegida, redirigía al usuario a una página de inicio de sesión convincente de Office 365.
Esta página de inicio de sesión falsa fue diseñada como parte de un esquema de ingeniería social para engañar a los usuarios para que ingresen sus credenciales de Microsoft. El ataque aprovechó desencadenantes psicológicos, como la imitación de mensajes de error y mensajes de soporte, para generar credibilidad y explotar la confianza del usuario en la marca Microsoft. Se trataba de un sofisticado intento de phishing, centrado en la ingeniería social en lugar de depender únicamente de técnicas de evasión avanzadas.
Cadena de redireccionamiento engañosa
En el siguiente análisis, Cato CTRL investigó un ataque de phishing que empleaba complejas técnicas de redirección para evadir la detección. El proceso comenzó con un enlace inicial engañoso, disfrazado de un motor de búsqueda popular en China, que redirigía a través de múltiples URL (usando códigos de estado HTTP como 402 y 301) antes de aterrizar finalmente en una página de phishing alojada en un enlace web descentralizado (IPFS). Esta secuencia de redireccionamiento de varios pasos complica el seguimiento y el registro, lo que dificulta que los investigadores de ciberseguridad rastreen el verdadero origen de la página de phishing.
A medida que avanzaba la investigación, el investigador de Cato CTRL encontró múltiples técnicas de evasión integradas en el código del sitio de phishing. Por ejemplo, la página de phishing incluía JavaScript codificado en Base64 que bloqueaba las interacciones del teclado, inhabilitando efectivamente la capacidad del investigador para acceder o analizar el código directamente. Otras tácticas de ofuscación incluían puntos de interrupción en las herramientas de desarrollo, que obligaban a la redirección a la página de inicio legítima de Microsoft para dificultar una mayor inspección.
Al deshabilitar estos puntos de interrupción en las herramientas de desarrollo de Chrome, el investigador finalmente superó estas barreras, permitiendo el acceso completo al código fuente del sitio de phishing. Esta táctica resalta las sofisticadas defensas en capas que los atacantes implementan para frustrar el análisis y retrasar la detección, aprovechando el anti-sandboxing, la ofuscación de JavaScript y las cadenas de redireccionamiento.
Detección basada en recursos de phishing
Los atacantes adaptan constantemente sus propias técnicas de defensa para evitar ser detectados. Los investigadores se han basado en elementos estáticos, como recursos de imágenes e íconos, para identificar páginas de phishing. Por ejemplo, los sitios de phishing dirigidos a Microsoft 365 a menudo replican logotipos e íconos oficiales sin alterar nombres o metadatos, lo que los hace más fáciles de detectar. Inicialmente, esta coherencia proporcionó a los defensores un método de detección fiable.
Sin embargo, los actores de amenazas se han adaptado aleatorizando casi todos los elementos de sus páginas de phishing.
Para evadir la detección, los atacantes ahora:
- Aleatorizar nombres de recursos – Los nombres de archivos de imágenes e íconos, que antes eran estáticos, se aleatorizan en gran medida en cada carga de página.
- Aleatorizar títulos de páginas y URL – Los títulos, subdominios y rutas URL cambian constantemente, creando nuevas cadenas aleatorias cada vez que se accede a la página, lo que hace que su seguimiento sea más difícil.
- Implementar desafíos de Cloudflare – Utilizan estos desafíos para verificar que un humano (no un escáner automático) está accediendo a la página, lo que dificulta la detección automatizada por parte de las herramientas de seguridad.
A pesar de estas técnicas, los defensores han encontrado nuevas formas de eludir estas evasiones, aunque es un juego continuo de adaptación entre atacantes e investigadores.
La clase magistral revela muchos más ataques de malware y phishing y cómo evaden las medidas tradicionales, que incluyen:
- Droppers de malware para distribución de carga útil.
- Archivos HTML en correos electrónicos de phishing para iniciar una descarga de malware de varios pasos que involucra archivos zip protegidos con contraseña.
- Contrabando de archivos y manipulación de bytes mágicos.
- Contrabando de SVG y codificación B64.
- Aprovechar aplicaciones confiables en la nube (por ejemplo, Trello, Google Drive) para comando y control para evitar la detección por parte de los sistemas de seguridad estándar.
- Inyecciones inmediatas dentro del malware para engañar a las herramientas de análisis de malware basadas en inteligencia artificial.
- Reutilización de la herramienta de eliminación de rootkit TDSS Killer para deshabilitar los servicios EDR, específicamente dirigidos a Microsoft Defender.
- Los bots de Telegram como medio para recibir credenciales robadas, lo que permite a los atacantes crear rápidamente nuevas zonas de entrega según sea necesario.
- IA generativa utilizada por los atacantes para agilizar la creación y distribución de ataques.
- Búsqueda de amenazas basada en red sin agentes de punto final.
¿Qué sigue para los defensores?
¿Cómo pueden los defensores ganar ventaja en este juego del gato y el ratón? Aquí hay algunas estrategias:
- Capacitación sobre phishing y concientización sobre seguridad – Si bien no es infalible, la capacitación en concientización aumenta la probabilidad de reconocer y mitigar las amenazas cibernéticas.
- Monitoreo de credenciales – Aprovechar las herramientas que analizan patrones de conexión puede bloquear de forma preventiva actividades potencialmente maliciosas.
- Aprendizaje automático y detección de amenazas – Herramientas avanzadas para identificar amenazas sofisticadas.
- Plataforma unificada de búsqueda de amenazas – Un enfoque de plataforma única y convergente (en lugar de soluciones de múltiples puntos) para una búsqueda ampliada de amenazas. Esto incluye la búsqueda de amenazas basada en la red sin agentes de punto final y el uso de análisis del tráfico de red para detectar IoC.
- Reducción de la superficie de ataque – Reducir de forma proactiva las superficies de ataque mediante la auditoría de firewalls, el ajuste de configuraciones y la revisión periódica de los ajustes de seguridad. Abordar las configuraciones erróneas y seguir los avisos de los proveedores puede ayudar a proteger las defensas de la organización contra nuevas amenazas.
- Evitar la hinchazón de la plataforma – Múltiples puntos de ataque a lo largo de la cadena de eliminación de amenazas son esenciales, “pero esto no significa agregar muchas soluciones puntuales”, enfatiza Maor. “Una plataforma convergente con una interfaz que realmente puede analizar todo: la red, los datos, a través de un motor de paso único que recorre cada paquete y comprende si es malicioso o no”.
Mira la clase magistral completa aquí.