Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Tres campañas de phishing de Evilginx dirigidas a Microsoft 365 reveladas debido a configuraciones incorrectas del servidor

La medida más pura de cómo se comportan y se benefician realmente los animales

Se informa que iCagenda y Balbooa crearon una falla en Joomla y fue explotada como un día cero

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»Tres campañas de phishing de Evilginx dirigidas a Microsoft 365 reveladas debido a configuraciones incorrectas del servidor
Identidad

Tres campañas de phishing de Evilginx dirigidas a Microsoft 365 reveladas debido a configuraciones incorrectas del servidor

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 13, 2026No hay comentarios11 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Un atacante que ejecutaba una operación de phishing en vivo de Microsoft 365 dejó un servidor web Python escuchando en un puerto público con la lista de directorios activada. El comando que ejecutó este python3 -m http.server 8080 todavía estaba en mi .bash_history y podía leerlo.

A partir de ese paso en falso, la empresa de seguridad francesa Lexfo mejoró todo el conjunto de herramientas del operador y pasó a dos operadores de phishing más, para un total de tres campañas. Cada uno ejecutó una bifurcación personalizada del proxy Evilginx de código abierto, clonado del GitHub público.

El mayor de los tres lleva más de un año funcionando y la mayoría de sus víctimas fueron buzones de correo corporativos.

Estos tres eludieron el MFA de dos maneras mecánicamente diferentes. Uno era mediante proxy de inicios de sesión en vivo y el otro explotaba el flujo de inicio de sesión legítimo de Microsoft. Los dos requieren defensas diferentes. Esta es la parte más importante de la ejecución de Microsoft 365.

La lista de directorios en un servidor de ataque en vivo es casi una confesión completa. Esta lista expuso configuraciones de phishing, registros de recopilación de credenciales, instaladores de RMM, listas combinadas, archivos de respaldo y los propios archivos de sesión de Telegram de los operadores.

Detrás de escena, un proxy de tipo intermediario Evilginx y una consola remota SimpleHelp se ejecutaban en el mismo host en 185.163.204(.)7 en Budapest, catalogado a finales de abril de 2026 durante un análisis de rutina de Internet.

El historial de bash y el conjunto de repositorios públicos apuntan directamente a este operador. El actor egipcio, rastreado por la compañía como codemado, ha estado activo en VoIP y foros de piratería desde 2018 y actualmente ejecuta la plataforma Microsoft 365 AiTM en picis(.)net, monetizando el acceso a través de un correo masivo que creó llamado MaDoO Blaster.

Su campaña comenzó el 20 de abril y continuó ejecutándose después del 30 de abril, cuando se descubrió el directorio, y unas semanas después aparecieron nuevos subdominios y certificados comodín actualizados. Su propio bot registró capturas en dos cuentas corporativas de M365, una en Francia y otra en Norteamérica.

La compañía dice que ha visto constantemente las mismas cuentas obtenidas repetidamente de diferentes IP, y los operadores renuevan los tokens robados a medida que caducan.

Fuente del kit

codemado no construyó el marco en el que se ejecuta. Lo clonó y su historial de bash muestra que hizo una comparación lado a lado de los kits. Este servidor contenía cuatro variantes de Evilginx obtenidas de otros dos desarrolladores de GitHub, los cuales resultaron ser operadores activos por derecho propio.

La primera Reina Roja proviene de un transportista nigeriano llamado Mail Argenta en el informe, lo que muestra cuánto se ha pulido el marco público. Su bifurcación cambia el nombre de los atributos HTML de origen cruzado e integridad para deshabilitar la verificación de integridad de los subrecursos y agrega un motor de reescritura de URL a http_proxy.go para evitar la detección basada en rutas. Complete previamente la dirección de correo electrónico de la víctima para evitar el abandono.

También establece un TTL de un año (31.536.000 segundos) en la cookie de sesión de Microsoft capturada. Según el informe, los inicios de sesión interceptados pueden sobrevivir al restablecimiento de contraseñas y permanecer en uso durante meses sin políticas de acceso condicional habilitadas por CAE.

Se envía un evilginx2.exe precompilado al repositorio, por lo que los compradores no necesitan crear nada. Una cookie M365 capturada en el repositorio tenía una fecha de vencimiento del 30 de junio de 2027.

Mer Argenta fue capturado al igual que sus víctimas. La empresa encontró su correo electrónico y contraseña en los registros del ladrón de información. Este es el tipo de credenciales recopiladas que su panel de phishing pretende crear. La contraseña filtrada coincidía con la codificada en el panel Kraken como contraseña de MySQL y se reutilizaba en todas las cuentas.

persona tranquila

La tercera bifurcación, reina negra, registró muchas más capturas que las otras dos y nunca tocó ninguna contraseña. Su creador, a quien los investigadores no pudieron identificar más allá del identificador saroula01, lo construyó alrededor del flujo de código de dispositivo OAuth de Microsoft, Rutas de inicio de sesión legítimas para dispositivos con restricciones de entrada.

Este ataque genera un código de dispositivo real, lo envuelve en una página señuelo con temática de Autenticador e indica al objetivo que ingrese el código en el sitio legítimo Microsoft.com/devicelogin. Las víctimas inician sesión en una página real de Microsoft y limpian la MFA ellas mismas. El backend de saroula01 sondea el punto final del token y lo recupera en ese momento.

Llamar a esto «bypass de MFA» no explica cómo funciona. No se pasa nada por alto. Aunque esta página de cebo fue creada por el atacante con un tema de Autenticador, el código del dispositivo y la página de Microsoft por la que sale la víctima son genuinos, por lo que el mensaje de MFA con el que la víctima está satisfecha es genuino.

Las claves de acceso y las claves FIDO2 también son inútiles. Esto se debe a que la víctima borra la clave de acceso en la infraestructura legítima de Microsoft al autenticar la sesión del atacante. El enlace de origen que detiene a Evilginx se realizará con éxito si el origen es en realidad Microsoft.

Microsoft documentó esta técnica en febrero de 2025 y evaluó con confianza media que estaba trabajando con Rusia en la campaña. Desde entonces, se ha expandido mucho más allá del uso patrocinado por el estado, con campañas dirigidas a cientos de organizaciones de Microsoft 365.

La versión de saroula01 funcionó silenciosamente durante más de un año. La compañía contó 218 cuentas separadas capturadas en registros de bots de Telegram en campañas en 12 países desde junio de 2025 hasta julio de 2026, aproximadamente el 94% de las cuales eran buzones de correo corporativos. Estas son capturas registradas y no se escanean.

Aunque el archivo del token se envió temporalmente al repositorio y luego se eliminó y aún se puede leer en el historial de Git, contenía 97 tokens de Microsoft activos vinculados a tres de estas víctimas, todos configurados en actualización automática y algunos actualizados hasta 25 veces. El marco mantenía vivas las sesiones por sí solo.

Tanto los dominios de phishing picis(.)net como romnor(.)ca estaban fuera de línea cuando The Hacker News los verificó antes de su publicación, pero la cronología del informe muestra que picis(.)net todavía está aprovisionando nuevos subdominios en mayo de 2026. El equipo de Lexfo CTI le dijo a THN que el dominio ya se había desconectado antes de que se tomara cualquier medida, y nuestra lectura es que el operador está rotando o retirando su infraestructura en lugar de una eliminación coordinada, pero no podemos confirmarlo. esto. cuál.

Estos tres se conectan vagamente con algo más grande. En junio de 2026, SOCRadar documentó un ecosistema de phishing como servicio denominado The Quarry. El ecosistema está dirigido por un desarrollador llamado RockyBelling y vende a casi 200 empresas.

MaDoO Blaster se anuncia como una herramienta de terceros dentro del canal Telegram de The Quarry y se marca de forma independiente en ambos artículos, aunque el informe indica que esto es una relación de proveedor en lugar de una membresía. No queda claro a partir de los artefactos si existe una relación directa entre mail-argenta y saroula01. Su kit estaba en GitHub público y disponible para cualquiera.

construir con ayuda

El informe encontró signos de desarrollo asistido por IA en las tres operaciones, aunque con distintos grados de fuerza. saroula01 dejó dos confirmaciones de git en coautoría con Claude Modell. mail-argenta confirmó instrucciones.txt que contienen sesiones de codificación de IA palabra por palabra, referencias a indicaciones anteriores y más para documentar cómo se creó la función de reescritura de URL.

Uno de los scripts de codemado le da crédito a CyberNeurova, una API paga de generación de código «sin censura», según el informe. Esta API se anuncia con el mensaje «Crear un keylogger en Python». Dos de los tres pusieron el modelo directamente en el código. La tercera es la línea de crédito, sin indicación de cuánto funcionó el modelo en cada construcción.

No se limita a estos tres. Microsoft ha documentado por separado el phishing de códigos de dispositivos basado en la automatización de backend impulsada por IA y generado señuelos de IA.

Hacker News preguntó a los autores del informe cuánto produjeron realmente las herramientas de inteligencia artificial en las tres operaciones. El equipo de Lexfo CTI dijo que la bifurcación Evilginx realiza solo unos pocos cambios en el núcleo, y los signos obvios del uso de IA se encuentran en el código adhesivo, los scripts y los fishlets que lo rodean, algunos de los cuales se pueden leer directamente como resultado del modelo. Según el equipo, no fue tanto el marco en sí sino el código creado a su alrededor.

Lo que realmente pueden hacer los defensores

No hay modificaciones en los dos métodos. MFA, FIDO2 o claves de acceso resistentes al phishing cierran el lado de Evilginx vinculando el inicio de sesión al dominio real. No se evita el abuso del código del dispositivo. El acceso condicional es la forma de hacerlo.

La propia política de Microsoft es bloquear el flujo de código hacia el dispositivo siempre que sea posible. Hay algunas configuraciones que realmente requieren esto, la mayoría de las cuales son hardware con entrada limitada, como dispositivos de sala de Teams y algunas herramientas de línea de comandos. Inventario que utiliza registros de inicio de sesión, bloquea flujos en otros lugares y realiza pruebas en modo de solo informe antes de aplicar políticas.

Con políticas de ubicación de acceso condicional basadas en IP en capas y una evaluación de acceso continua, las cargas de trabajo compatibles de Microsoft 365 garantizan que los tokens robados fuera del rango autorizado se reevalúen en lugar de caducar.

Para fines de detección, el informe marca las concesiones de tokens de actualización del ID de cliente de Microsoft Office d3590ed6-52b3-4102-aeff-aad2292ab01c en el registro de inicio de sesión de Entra como que vale la pena monitorear si ese cliente de escritorio no se usa con regularidad. Verificación cruzada con IP de origen desconocido.

La misma guía de Microsoft señala el problema. Las sesiones iniciadas en el flujo de código del dispositivo permanecerán etiquetadas en actualizaciones posteriores aunque ya no aparezcan en el evento actual, así que busque el campo del método de transporte original en el inicio de sesión, no solo el protocolo de autenticación en vivo.

En el punto final, estos operadores buscan herramientas RMM para lograr persistencia. El kit de codemado es compatible con XEOX, por lo que comienza con el agente ubicado en C:\Program Files (x86)\XEOX\xeox-agent_x64.exe y una tarea programada que coincide con *XEOX*Agent*Watchdog*. Aunque el dominio y la IP están incluidos en el informe, su infraestructura es circular y debe tratarse como contención en lugar de remediación.

Hacker News también se puso en contacto con Microsoft sobre el exploit de flujo de código del dispositivo, pero no recibió respuesta al momento de la publicación. Esta historia se actualizará si recibimos una respuesta.

Esto no tomó mucho tiempo. Aunque ninguno de los tres operadores construyó el marco que ejecutan, lanzaron una campaña de trabajo a partir de repositorios públicos, kits que se venden por cientos de dólares y un modelo que admite piezas personalizadas.

Las barreras para la ejecución de campañas han caído a casi cero, según el informe, y el equipo de Lexfo CTI espera que este tipo de ataques se vuelvan significativamente más comunes en los próximos meses.

Algunos ecosistemas baratos ahora ofrecen dos formas de eludir la MFA, y esa es la parte que aquí dura más que una sola campaña. Las tiendas endurecidas contra el phishing de proxy inverso siguen siendo vulnerables a la explotación del código del dispositivo. El bloqueo del segundo pase es una política única de acceso condicional, no se agrega ninguna clave de acceso y solo existe si alguien la crea.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleLa medida más pura de cómo se comportan y se benefician realmente los animales
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Se informa que iCagenda y Balbooa crearon una falla en Joomla y fue explotada como un día cero

julio 13, 2026

La versión comprometida de jscrambler 8.14.0 npm elimina Rust Infostealer durante la instalación

julio 11, 2026

Los piratas informáticos utilizan el portal de la policía de Baluchistán como arma para espiar a múltiples grupos

julio 11, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Tres campañas de phishing de Evilginx dirigidas a Microsoft 365 reveladas debido a configuraciones incorrectas del servidor

La medida más pura de cómo se comportan y se benefician realmente los animales

Se informa que iCagenda y Balbooa crearon una falla en Joomla y fue explotada como un día cero

Reed Jobs would rather talk about curing cancer than his last name

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.