Se registran un millón de ataques PhaaS en los dos primeros meses de 2025

En los dos primeros meses de 2025, los sistemas de detección de Barracuda Networks, Inc bloquearon más de un millón de ataques de phishing por parte de destacadas plataformas Phishing-as-a-Service (PhaaS). Un nuevo informe sobre las herramientas y técnicas utilizadas en los ataques destaca cómo las plataformas PhaaS están evolucionando rápidamente para ser más peligrosas y evasivas. Muchas se dirigen a usuarios de plataformas populares basadas en la nube, como Microsoft 365.

La mayoría de los incidentes detectados (89%), involucraron la sofisticada Tycoon 2fA, seguida de EvilProxy, que representó el 8% de los ataques, mientras que Sneaky 2FA estuvo detrás del 3% de los incidentes.  Las tres plataformas tienen herramientas diferentes y distintivas, con algunos elementos comunes como el uso del servicio de mensajería Telegram para llevar a cabo los ataques.

Tycoon 2FA, EvilProxy y Sneaky 2FA, la rápida innovación de las amenazas

Los analistas de amenazas de Barracuda informaron sobre Tycoon 2FA en enero de 2025. Desde entonces, la plataforma ha seguido desarrollando y mejorando sus tácticas evasivas, haciéndose aún más difícil de detectar.

Entre otras mejoras, el script de código para el robo y la filtración de credenciales ahora está cifrado mediante un cifrado de sustitución y, en ocasiones, un carácter invisible (conocido como Hangul Filler).

El nuevo y mejorado script puede identificar el tipo de navegador de la víctima para ayudar a personalizar el ataque e incluye enlaces al servicio Telegram que pueden utilizarse para enviar en secreto los datos robados a los atacantes.

El script también permite actualizar partes de una página web independientemente del resto de la página e incluye cifrado AES para camuflar las credenciales antes de filtrarlas a un servidor remoto. Todo ello dificulta enormemente la detección por parte de las herramientas de seguridad.

Los ataques EvilProxy tampoco se quedan atrás. Su plataforma ha evolucionado hasta conseguir que puedan implementarse con unos conocimientos técnicos mínimos. Se dirige a servicios muy utilizados como Microsoft 365, Google y otras plataformas basadas en la nube, engañando a las víctimas para que introduzcan sus credenciales en páginas de inicio de sesión aparentemente legítimas.

El código fuente utilizado por EvilProxy para su página web de phishing es muy similar al de la página de inicio de sesión original de Microsoft. Esto hace que sea difícil distinguir el sitio malicioso del sitio web legítimo original.

El tercer PhaaS más destacado a principios de 2025 fue Sneaky 2FA, la plataforma para ataques AiTM dirigidos a cuentas de Microsoft 365 en busca de credenciales y acceso. Al igual de Tycoon 2FA, aprovecha la plataforma de mensajería Telegram.

Sneaky 2FA comprueba que el usuario en un objetivo legítimo y no una herramienta de seguridad, un bot u otro adversario – si este es el caso, la “víctima” es redirigida a un sitio inofensivo en otro lugar – antes de rellenar previamente la página de phishing falsa con la dirección de correo electrónico de la víctima abusando de la funcionalidad “autograb” de Microsoft 365.

“Las plataformas que alimentan al phishing-as-a-service son cada vez más complejas y evasivas, lo que hace que los ataques de phishing sean tanto más difíciles de detectar para las herramientas de seguridad tradicionales como más potentes en términos del daño que pueden causar”, dijo Saravanan Mohankumar, Threat Analyst en Barracuda. “Una estrategia de defensa avanzada y multicapa con detección habilitada para IA/ML, combinada con una sólida cultura de seguridad y políticas de acceso y autenticación de seguridad coherentes, ayudará a proteger a las organizaciones y a los empleados contra los ataques basados en PhaaS.”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.