Mamba 2FA (Nueva plataforma de phishing como servicio PhaaS)
El error humano es, generalmente, el factor por el cual más riesgos logran materializarse, lo que convierte a este aspecto en un objetivo muy explotado por actores maliciosos mediante diferentes técnicas, como la ingeniería social, el phishing, entre otras. El phishing es bastante efectivo y no muy costoso de ejecutar, por lo que es ampliamente utilizado. Día a día se generan nuevas campañas con esta técnica.
En mayo de 2024, la empresa ANY.RUN sufrió un incidente de seguridad en el cual todos sus empleados recibieron un correo de phishing que parecía provenir de otro miembro de la organización. Se descubrió que las credenciales del usuario que envió el correo estaban comprometidas y que había registros de accesos desde ubicaciones inusuales. Tras una investigación, en junio, la empresa ANY.RUN descubrió la plataforma Mamba, aunque la empresa Sekoia ya estaba investigando los movimientos de Mamba desde mayo de 2024. [4]
Mamba es una plataforma de phishing como servicio (PhaaS), que se alquila por 250 dólares al mes. Esta tarifa permite lanzar ataques contra diversas víctimas potenciales. La venta del servicio se realiza a través de Telegram o enlaces que rotan periódicamente. Mamba está especialmente diseñada para atacar objetivos que utilicen Microsoft 365 y cuenta con plantillas que imitan OneDrive, SharePoint Online y páginas de autenticación de Microsoft. Además, en los correos internos de las organizaciones añade fondos y el logotipo correspondiente a la organización para parecer más auténtico y aumentar su efectividad. [1] [2]
Imagen de la pagina de OneDrive suplantada [1]
Como se puede observar a simple vista, puede pasar desapercibido, ya que son páginas a las cuales se les ha dedicado tiempo para que sean lo más auténticas posible.
El funcionamiento de Mamba 2FA es el siguiente: [1]
- El usuario es dirigido a una página comprometida mediante un enlace de phishing.
- Se verifica si el usuario que accedió al enlace es un bot. En caso de no serlo, se continúa al siguiente paso; si, por el contrario, se detecta que es un bot, se le redirige a una página de Google con el error 404.
- Se muestra la página de phishing, la cual se comunica con el servidor para almacenar contraseñas, tokens, códigos de un solo uso y cookies de autenticación mediante la biblioteca Socket.IO de JavaScript y con un ataque AiTM (Attack in The Middle).
Imagen del proceso a seguir del ataque de phishing.
Esta campaña de phishing es muy completa y busca evadir la detección por medio de sandbox u otras herramientas. Incluso, recientemente, en septiembre de este año, se agregaron servidores proxy debido a que, anteriormente, los servidores de repetición se conectaban directamente a EntraID, lo que exponía la IP utilizada para la conexión. Ahora, con los servidores proxy, ya no es posible identificar la IP, lo que hace más difícil la detección de la operación de phishing. [2]
Indicadores de Compromiso:
| IOC | Tipo |
| hypexfinancial[.]com | Dominio |
| voltampereactive[.]com | Dominio |
| planchereserver[.]com | Dominio |
| thirdmandomavis[.]com | Dominio |
| fourthmanservice[.]com | Dominio |
| sithchibb[.]com | Dominio |
| copelustration[.]xyz | Dominio |
| copefood[.]xyz | Dominio |
| seven-oranges[.]com | Dominio |
| onemanforest[.]com | Dominio |
| twomancake[.]com | Dominio |
| threemanshop[.]com | Dominio |
| fourmanchurch[.]com | Dominio |
| fivemanchool[.]com | Dominio |
| sixmanteams[.]com | Dominio |
| sevenmanjungle[.]com | Dominio |
| 88mansession[.]com | Dominio |
| fiveradio-newbam[.]com | Dominio |
| nine9manforest[.]com | Dominio |
| 10decadesmen[.]com | Dominio |
| 11cyclesforest[.]com | Dominio |
| 1messisnfarm[.]com | Dominio |
| 2moniunesson[.]com | Dominio |
| 3alphabetjay[.]com | Dominio |
| 4sessionmoon[.]com | Dominio |
| 5poleanalhy[.]com | Dominio |
| 6treesmangle[.]com | Dominio |
| 7motionmansa[.]com | Dominio |
| 8boomandool[.]com | Dominio |
| 9cantronnfit[.]com | Dominio |
| 10trioneyue8ss[.]com | Dominio |
| 11beamgools[.]com | Dominio |
| 45.61.130[.]11 | IP |
| 45.61.169[.]4 | IP |
| 172.86.64[.]212 | IP |
| 172.86.96[.]84 | IP |
| 172.86.96[.]128 | IP |
| 172.86.97[.]78 | IP |
| 172.86.97[.]165 | IP |
| 172.86.104[.]33 | IP |
| 172.86.104[.]64 | IP |
| 172.86.104[.]178 | IP |
| 172.86.105[.]59 | IP |
| 172.86.105[.]72 | IP |
| 172.86.106[.]94 | IP |
| 40.83[.]133[.]199 | IP |
| 172.210.145[.]129 | IP |
| 162.244.210[.]90 | IP |
| 52.162.121[.]170 | IP |
| 68.154.52[.]201 | IP |
| 140.228.29[.]111 | IP |
| 52.170.144[.]110 | IP |
Recomendaciones
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- TOULAS, B. (2024. Octubre 8) New Mamba 2FA bypass service targets Microsoft 365 accounts. Recuperado el 10 de octubre del 2024 en: https://www.bleepingcomputer.com/news/security/new-mamba-2fa-bypass-service-targets-microsoft-365-accounts/
- Clermont, G. SEKOIA. (2024, Octubre 7) Mamba 2FA: A new contender in the AiTM phishing ecosystem. Recuperado el 10 de octubre del 2024 en: https://blog.sekoia.io/mamba-2fa-a-new-contender-in-the-aitm-phishing-ecosystem/#h-commercialisation-of-mamba-2fa-phishing-pages
- Jimenez, J. (2024, Octubre 9) Este nuevo malware pone en jaque las cuentas de Microsoft incluso si tienes la máxima protección. Recuperado el 10 de octubre del 2024 en: https://www.redeszone.net/noticias/seguridad/nuevo-malware-afecta-cuentas-microsoft/
- SEKOIA (2024, Junio 24) Phishing Incident Report: Facts and Timeline. Recuperado el 10 de octubre del 2024 en: https://any.run/cybersecurity-blog/phishing-incident-report/#how-we-discovered-the-incident-8068
