<img src="https://certify.alexametrics.com/atrk.gif?account=CJF3n1a4KM10N8" style="display:none" height="1" width="1" alt="">
Skip to content
Seguridad de redes

Mamba 2FA: Nueva amenaza de Phishing

Mamba 2FA: Nueva amenaza de Phishing
Tiempo estimado de lectura: 1 min

Mamba 2FA es una plataforma de phishing como servicio (PhaaS) que se especializa en atacar cuentas de Microsoft 365.

Su objetivo principal de Mamba 2FA es capturar las credenciales y los tokens de autenticación de los usuarios. 

Esto se logra mediante la creación de páginas de inicio de sesión falsas que imitan a las legítimas, como las de Microsoft 365.

Fue detectado por primera vez en junio de 2024. Sin embargo, hay evidencia que sugiere que Mamba 2FA ha estado activo desde mucho antes, apoyando campañas de phishing desde noviembre de 2023. 

Similar a otras plataformas PhaaS, emplea relés proxy para llevar a cabo ataques de phishing AiTM, permitiendo a los actores maliciosos acceder a códigos de acceso de un solo uso y cookies de autenticación.

El mecanismo AiTM utiliza la biblioteca JavaScript Socket.IO para establecer comunicación entre la página de phishing y los servidores de retransmisión en el backend, los cuales a su vez se comunican con los servidores de Microsoft utilizando los datos robados. Las credenciales capturadas y las cookies de autenticación se envían al atacante a través de un bot de Telegram, permitiéndole iniciar sesión de inmediato.

Mamba 2FA también incluye detección de sandbox, redirigiendo a los usuarios a páginas web 404 de Google cuando detecta que están bajo análisis.

Ofrece una variedad de plantillas de phishing que imitan diferentes servicios de Microsoft 365, como OneDrive, SharePoint Online, páginas de inicio de sesión de Microsoft e incluso falsas notificaciones de correo de voz que redirigen a las víctimas a una página de inicio de sesión falsa.

Para las cuentas empresariales, el kit de phishing va un paso más allá, replicando automáticamente el estilo visual de la página de inicio de sesión de la empresa objetivo, con logotipos e imágenes personalizados, haciendo que el engaño sea aún más convincente.

Recomendaciones:

Para protegerse contra las operaciones de PhaaS que utilizan tácticas AiTM, considere usar claves de seguridad de hardware, autenticación basada en certificados, bloqueo geográfico, listas de direcciones IP permitidas, listas de dispositivos permitidos y reducción de la vida útil de los tokens

Referencias:

Mamba nueva amenaza que elude 2fa en cuentas de Microsoft 365

The Rise of Mamba 2FA – A New Threat in Phishing Attacks

cta blog 1

 

También te interesaría

¡Mantente informado!

Te invitamos a suscribirte a nuestro blog