Hackers maliciosos aumentan el uso de clientes HTTP para apropiarse de cuentas
En los últimos tiempos, se ha observado que los ciberdelincuentes aprovechan cada vez más herramientas legítimas de cliente HTTP para ejecutar ataques de apropiación de cuentas, ATO, por sus siglas en inglés, en entornos de Microsoft 365.
Los hallazgos recientes de distintas organizaciones han revelado que cerca del 89% de los clientes de Microsoft 365 se han enfrentado, al menos, a 1 intento de ATO en el pasado 2024, empleando un cliente de HTTP distinto. Esto ha marcado un aumento del 7% en este tipo de ataques, en comparación con los 6 meses anteriores.
Los investigadores de empresas relacionadas con la ciberseguridad han observado una tendencia a largo plazo de los actores maliciosos, los cuales reutilizan herramientas de cliente HTTP ampliamente disponibles para ejecutar actividades maliciosas. Dichas herramientas, diseñadas originalmente para el desarrollo y automatización web, ahora se usan para ataques de fuerza bruta y técnicas de adversario en el medio o AiTM.
En el año 2018, los hackers maliciosos emplearon una versión poco común del cliente “OkHtp”, o bien, el okhttp/3.2.0, en una campaña sostenido que tuvo una duración de casi 4 años. Para el año 2021, este método alcanzó un pico de decenas de miles de ataques mensuales antes de disminuir. Ahora bien, desde principios del año pasado, los nuevos clientes HTTP, como python-request y Axios, se han vuelto más importantes.
Uno de los métodos de ataque recientas y más efectivos, involucra al cliente HTTP Axios, el cual integra tácticas de AiTM para eludir la autenticación multifactor o MFA. Los ataques basados en Axios tienen una tasa de éxito del 45%, significativamente más alta que los intentos tradicionales de fuerza bruta.
TIC Defense se encarga de proteger toda la arquitectura informática de tu empresa, en donde se incluye la información digital que maneja. Para ello, nuestro enfoque de prevención y respuesta rápida a incidentes viene acompañado de soluciones, servicios, productos y herramientas de alta tecnología y que se adaptan a las necesidades de la organización.
Los pasos clave de este ataque incluyen el robo de credenciales por medio de herramientas de phishing y proxy inverso por correo electrónico. Además, incluye la toma de control de cuentas, utilizando credenciales robadas y tokens MFA y, por último, cuenta con aplicaciones posteriores al compromiso, como modificar reglas del buzón, exfiltrar datos y registrar aplicaciones “OAuth” para acceso persistente.
Otra campaña maliciosa utiliza el cliente Node Fetch para realizar ataques de rociado de contraseñas por fuerza bruta. Desde el mes de junio del pasado 2024, este método ha generado más de 13 millones de intentos de inicio de sesión, con un promedio de 66 mil diarios. A pesar de su escala, la tasa de éxito sigue siendo baja, solo un 2%.
Los cibercriminales se dirigen principalmente a las cuentas de estudiantes del sector educativo, aprovechando su seguridad relativamente más débil. Más de 3 mil empresas y 1890 mil cuentas de usuario han sido atacadas desde mediados del año 2024.
En el mes de agosto del año pasado, investigadores de firmas de ciberseguridad detectaron un cambio hacia “Go Resty”, un cliente HTTP basado en Go. Si bien este método tuvo un éxito limitado y dejó de usarse en el mes de octubre, indica una adaptación continua por parte de los actores maliciosos.