En los dos primeros meses de 2025, los sistemas de detección de Barracuda Networks, Inc bloquearon más de un millón de ataques de phishing por parte de destacadas plataformas Phishing-as-a-Service (PhaaS). Un nuevo informe sobre las herramientas y técnicas utilizadas en los ataques destaca cómo las plataformas PhaaS están evolucionando rápidamente para ser más peligrosas y evasivas. Muchas se dirigen a usuarios de plataformas populares basadas en la nube, como Microsoft 365.

La mayoría de los incidentes detectados (89%), involucraron la sofisticada Tycoon 2fA, seguida de EvilProxy, que representó el 8% de los ataques, mientras que Sneaky 2FA estuvo detrás del 3% de los incidentes.  Las tres plataformas tienen herramientas diferentes y distintivas, con algunos elementos comunes como el uso del servicio de mensajería Telegram para llevar a cabo los ataques.

Tycoon 2FA, EvilProxy y Sneaky 2FA, la rápida innovación de las amenazas

Los analistas de amenazas de Barracuda informaron sobre Tycoon 2FA en enero de 2025. Desde entonces, la plataforma ha seguido desarrollando y mejorando sus tácticas evasivas, haciéndose aún más difícil de detectar.

Entre otras mejoras, el script de código para el robo y la filtración de credenciales ahora está cifrado mediante un cifrado de sustitución y, en ocasiones, un carácter invisible (conocido como Hangul Filler).

El nuevo y mejorado script puede identificar el tipo de navegador de la víctima para ayudar a personalizar el ataque e incluye enlaces al servicio Telegram que pueden utilizarse para enviar en secreto los datos robados a los atacantes.

El script también permite actualizar partes de una página web independientemente del resto de la página e incluye cifrado AES para camuflar las credenciales antes de filtrarlas a un servidor remoto. Todo ello dificulta enormemente la detección por parte de las herramientas de seguridad.

Los ataques EvilProxy tampoco se quedan atrás. Su plataforma ha evolucionado hasta conseguir que puedan implementarse con unos conocimientos técnicos mínimos. Se dirige a servicios muy utilizados como Microsoft 365, Google y otras plataformas basadas en la nube, engañando a las víctimas para que introduzcan sus credenciales en páginas de inicio de sesión aparentemente legítimas.

El código fuente utilizado por EvilProxy para su página web de phishing es muy similar al de la página de inicio de sesión original de Microsoft. Esto hace que sea difícil distinguir el sitio malicioso del sitio web legítimo original.

El tercer PhaaS más destacado a principios de 2025 fue Sneaky 2FA, la plataforma para ataques AiTM dirigidos a cuentas de Microsoft 365 en busca de credenciales y acceso. Al igual de Tycoon 2FA, aprovecha la plataforma de mensajería Telegram.

Sneaky 2FA comprueba que el usuario en un objetivo legítimo y no una herramienta de seguridad, un bot u otro adversario – si este es el caso, la “víctima” es redirigida a un sitio inofensivo en otro lugar – antes de rellenar previamente la página de phishing falsa con la dirección de correo electrónico de la víctima abusando de la funcionalidad “autograb” de Microsoft 365.

“Las plataformas que alimentan al phishing-as-a-service son cada vez más complejas y evasivas, lo que hace que los ataques de phishing sean tanto más difíciles de detectar para las herramientas de seguridad tradicionales como más potentes en términos del daño que pueden causar”, dijo Saravanan Mohankumar, Threat Analyst en Barracuda. “Una estrategia de defensa avanzada y multicapa con detección habilitada para IA/ML, combinada con una sólida cultura de seguridad y políticas de acceso y autenticación de seguridad coherentes, ayudará a proteger a las organizaciones y a los empleados contra los ataques basados en PhaaS.”