AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**La plataforma de phishing EvilProxy amplía su alcance: nuevos objetivos en AWS, Okta y servicios rusos**

admin

### 1. Introducción

El ecosistema de amenazas en torno al phishing evoluciona a ritmo vertiginoso, impulsado por la sofisticación de los servicios de Phishing-as-a-Service (PhaaS). EvilProxy, una de las plataformas más notorias en este segmento, ha dado un nuevo salto cualitativo al expandir su catálogo de objetivos y adoptar nuevas técnicas de ataque. Si en sus inicios los ataques se centraban en comprometer cuentas de Microsoft 365, los operadores de EvilProxy han diversificado sus estrategias y ahora apuntan contra servicios críticos como AWS, Okta y varias plataformas rusas. Esta evolución supone un desafío significativo para los equipos de seguridad, especialmente por la incorporación de métodos avanzados como el device code phishing.

### 2. Contexto del Incidente o Vulnerabilidad

EvilProxy irrumpió en la escena en 2022, posicionándose como una solución PhaaS de referencia, facilitando campañas de phishing altamente personalizables y de difícil detección. Hasta hace poco, su funcionalidad se limitaba principalmente a la suplantación de portales de Microsoft 365, explotando la confianza en la autenticidad visual y el uso de reverse proxies para sortear mecanismos de autenticación multifactor (MFA). Sin embargo, recientes investigaciones han documentado que el servicio ha ampliado su infraestructura y capacidades, permitiendo ahora a los atacantes dirigirse a AWS, Okta y plataformas populares en Rusia —como Yandex y VKontakte—, además de mantener el soporte para objetivos occidentales.

El salto cualitativo se produce también en los métodos de ataque. EvilProxy ha adoptado técnicas de phishing de device code, explotando los flujos de autenticación OAuth y permitiendo la captura de tokens de acceso incluso en entornos con MFA habilitado. Este enfoque incrementa la eficacia de las campañas y complica la detección tradicional basada en patrones de URLs o contenidos fraudulentos.

### 3. Detalles Técnicos

La evolución de EvilProxy se manifiesta tanto en la ampliación de su catálogo de plantillas como en la sofisticación de los vectores de phishing:

– **CVE y vectores de ataque:** Aunque EvilProxy no explota vulnerabilidades específicas (CVE) conocidas en los servicios objetivo, sí utiliza reverse proxies para interceptar credenciales y tokens, y ahora emplea device code phishing, una variante del OAuth phishing donde la víctima introduce un “código de dispositivo” legítimo en un portal auténtico, permitiendo al atacante obtener tokens válidos.

– **Técnicas y tácticas (MITRE ATT&CK):**
– T1566.002 (Phishing: Spearphishing via Service)
– T1110.002 (Brute Force: Password Spraying)
– T1556.003 (Subvert Trust Controls: Web Session Cookie)
– T1557 (Man-in-the-Middle)
– T1078 (Valid Accounts)

– **Indicadores de Compromiso (IoC):**
– Dominios y subdominios efímeros con certificados TLS legítimos.
– Tráfico HTTP/S dirigido a servidores reverse proxy intermedios.
– Solicitudes OAuth sospechosas y generación de device codes no habituales.
– Uso de frameworks de automatización (Selenium, Puppeteer) para simular interacción humana.

Los kits de EvilProxy se integran fácilmente con herramientas como Metasploit y Cobalt Strike, facilitando la explotación posterior una vez comprometida la cuenta objetivo.

### 4. Impacto y Riesgos

La ampliación de targets y técnicas de EvilProxy incrementa notablemente el riesgo para organizaciones de todos los sectores, especialmente aquellas que dependen de AWS y Okta para la gestión de identidades y accesos. Según estimaciones recientes, hasta un 30% de las campañas de phishing dirigidas a grandes empresas ya emplean técnicas similares de reverse proxy o device code phishing.

El compromiso de cuentas en AWS u Okta puede facilitar el acceso lateral, la escalada de privilegios, el despliegue de ransomware o la exfiltración masiva de datos. Además, la capacidad para sortear MFA mediante device code phishing representa una amenaza directa contra los controles de seguridad más extendidos.

El impacto económico es difícil de cuantificar pero puede ascender a millones de euros por incidentes de brechas de datos, sanciones regulatorias (por ejemplo, bajo GDPR o NIS2) y costes derivados de la recuperación reputacional y operativa.

### 5. Medidas de Mitigación y Recomendaciones

Para mitigar los riesgos asociados a EvilProxy y el device code phishing, se recomiendan las siguientes acciones:

– **Monitorización avanzada de logs** para detectar patrones inusuales en los flujos de autenticación OAuth y generación de device codes.
– **Despliegue de autenticación adaptativa y biométrica**, más allá de MFA tradicional basada en OTP o SMS.
– **Revisión y restricción de permisos OAuth** otorgados a aplicaciones de terceros.
– **Sensibilización continua de usuarios** sobre nuevas variantes de phishing e ingeniería social.
– **Bloqueo de dominios y proxies sospechosos** mediante listas negras actualizadas y threat intelligence feeds.
– **Auditorías regulares** sobre la configuración de AWS, Okta y otras plataformas críticas.

### 6. Opinión de Expertos

Expertos del sector, como los analistas de threat intelligence de Group-IB y Proofpoint, advierten que la profesionalización de PhaaS como EvilProxy marca una nueva era en el phishing industrializado. “La capacidad de sortear MFA y dirigirse a servicios críticos como AWS representa un cambio de paradigma”, señala un CISO de una multinacional europea. Además, recalcan la importancia de adoptar modelos de Zero Trust y reforzar la visibilidad sobre los accesos OAuth y SSO.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, esta evolución implica la necesidad de revisar en profundidad sus estrategias de identidad y acceso. La confianza ciega en el MFA ya no es suficiente ante adversarios que explotan device code phishing y reverse proxies. Los usuarios, por su parte, deben ser conscientes de que las técnicas de phishing actuales pueden sortear barreras de seguridad hasta ahora consideradas robustas, lo que refuerza la importancia de la formación y la vigilancia constante.

### 8. Conclusiones

La expansión de EvilProxy hacia nuevos objetivos y técnicas sofisticadas como el device code phishing es un claro exponente de la evolución de las amenazas en el ámbito de la ciberseguridad. Las organizaciones deben pasar de una defensa estática a una postura proactiva, combinando tecnología, formación y procesos para anticipar y responder eficazmente a estos ataques avanzados.

(Fuente: www.darkreading.com)