· Esta campaña utiliza como herramienta Evilginx, una plataforma de recursos de código abierto que permite crear campañas utilizando técnicas muy sofisticadas como AiTM (adversary-in-the-middle) y enmascaramiento mediante proxies
· La técnica AitM simula flujos de inicio de sesión reales y roba cookies de inicio de sesión, lo que permite el robo de credenciales incluso en entornos protegidos con Autenticación Multifactor (MFA).
Enero de 2026: Infoblox Threat Intel (ITI), la unidad de inteligencia de seguridad de Infoblox, ha identificado una nueva campaña de phishing coordinada que ha atacado a más de 18 universidades y centros de estudios superiores en Estados Unidos. Esta campaña ha utilizado de forma masiva el kit de herramientas de malware conocido como Evilginx, una plataforma de recursos de código abierto que permite crear campañas utilizando técnicas avanzadas tales como AiTM (adversary-in-the-middle) para robar credenciales de inicio de sesión y cookies, lo que le permite eludir la autenticación multifactor (MFA) en los portales web de dichos centros.
Las principales conclusiones del estudio que ha permitido identificar esta campaña han sido:
· El actor malicioso responsable del ataque ha utilizado la plataforma Evilginx para tomar el control de las cuentas de usuario de los estudiantes. Este kit de herramientas de código abierto (probablemente v3.0) utiliza la técnica AitM, que simula flujos de inicio de sesión reales y roba cookies de sesión, lo que permite el robo de credenciales incluso con Autenticación Multifactor (MFA) habilitada.
· Los patrones DNS de esta actividad maliciosa han puesto de manifiesto que son 70 los dominios afectados: A pesar de utilizar URLs de corta duración y de usar técnicas de enmascaramiento mediante Cloudflare, el actor dejó huellas DNS identificables, lo que permitió mapear casi 70 dominios relacionados y rastrear la actividad entre abril y noviembre de 2025.
· En el caso de 18 de estas universidades, se utilizaron correos electrónicos personalizados como vector de ataque: los estudiantes recibieron enlaces dinámicos TinyURL generados a través de Evilginx, cada uno suplantando portales SSO de la universidad con subdominios de marca y URL únicas.
· Uso de tácticas de evasión y ocultamiento: las tácticas de evasión avanzadas dificultaron la detección, al utilizarse proxies de Cloudflare, URLs de corta duración y ofuscación de proxy inverso para burlar los escáneres y ocultar el origen del alojamiento.
Como ha comentado Renée Burton, VP de Infoblox Threat Intel, “Las universidades siguen siendo un objetivo habitual de los actores maliciosos, a los que les importa muy poco el daño que generan. Un ejemplo particularmente lamentable: los atacantes se infiltraron en la Universidad de Washington y comprometieron los sistemas del Museo Burke de Historia Natural. Sus acciones destruyeron parte del catálogo digital de especímenes de plantas y animales del museo, un registro de un valor incalculable, creado después de años de esfuerzo voluntario, que preserva el conocimiento de las especies extintas y en peligro de extinción”.
Entre las principales universidades que han sido víctimas de esta campaña se encuentran la Universidad de California en Santa Cruz, la Universidad de California en Santa Bárbara, la Universidad de San Diego, la Universidad Commonwealth de Virginia y la Universidad de Michigan.
Para más información, visitar https://blogs.infoblox.com/threat-intelligence/dns-uncovers-infrastructure-used-in-sso-attacks/
Acerca de Infoblox
Infoblox unifica la gestión de red, seguridad y la nube mediante una plataforma DDI Protective que ofrece resiliencia y agilidad para entornos corporativos. Entre sus más de 13 000 clientes se incluyen la mayoría de las empresas del ranking Fortune 100, así como empresas emergentes innovadoras. Infoblox integra, protege y automatiza los servicios de red críticos para que las empresas puedan avanzar con rapidez y agilidad. Para más información sobre la compañía, visite https://www.infoblox.com o siga su cuenta en LinkedIn.
No hay comentarios:
Publicar un comentario