• Home /

  • /

  • Microsoft alerta sobre la evolución de los ataques "man in the middle"

Ciberseguridad

Microsoft alerta sobre la evolución de los ataques "man in the middle"

Las técnicas de phishing de adversario en el medio se están haciendo cada vez más sofisticadas y se usan para ataques a gran escala.

Periodista

1 minuto

Phishing.

Microsoft ha realizado una serie de publicaciones en X (antes conocida como Twitter) donde advierte sobre la peligrosidad de las técnicas Adversary-in-the-Middle o adversario en el centro (AiTM), que están aumentando y evolucionando como parte del modelo de phising como servicio (PhaaS).

En los ataques de adversario en el centro, también conocidos como ataques de hombre en el medio o Man-in-The-Middle (Mitm), un actor de amenazas se posiciona en una conversación entre dos partes, como pueden ser dos dispositivos, dos usuarios, un usuario y una aplicación o servidor, con el fin de intervenir estas comunicaciones. 

Microsoft aclara que el phishing de AiTM tiene como fin el robo de las cookies de sesión almacenadas por los navegadores para permitir a los usuarios acceder a sistemas privilegiados sin necesidad de volver a autenticarse. 

A diferencia de lo que ocurre en los incidentes tradicionales, los procedimientos de respuesta a incidentes para ataques de adversario en el centro requieren la revocación de las cookies de sesión robadas.

Saltándose la doble autenticación a la torera

La compañía de Redmond explica que al margen de los nuevos servicios Phaas, los servicios de phishing establecidos como PerSwaysion han agregado capacidades AiTM.

"Este desarrollo en el ecosistema de phising como servicio permite a los atacantes realizar campañas de gran volumen que intentan eludir las protecciones de autenticación de multifactor (MFA) a escala", señala Microsoft. 

La firma co-fundada por Bill Gates también alerta de que algunos kits de phishing, como EvilGinx, Modlishka, Muraena y EvilProxy, se sirven de servidores proxy inversos para ataques AiTM. En este caso, cada paquete HTTP se enviaría mediante proxy hacia y desde el sitio web original, ocasionando que la URL sea la única diferencia visible entre la página de phishing y el sitio legítimo.

Además, los atacantes están usando copias o imitaciones de páginas de inicios de sesión, al igual que en los ataques de phising tradicionales a través de servidores de retransmisión sincrónicos.