PoisonSeed: Cómo los ataques de phishing eluden FIDO con WebAuthn

Redazione RHC : 5 agosto 2025 07:43

Los autores de la campaña de phishing PoisonSeedhan encontrado una forma de eludir FIDO (en este caso, FIDO2 con WebAuthn) mediante el mecanismo de autenticación multidispositivo implementado en WebAuthn. Los atacantes convencen a las víctimas para que aprueben las solicitudes de inicio de sesión desde portales corporativos falsos. Tenga en cuenta que la campaña PoisonSeed se basa en el phishing, cuyo objetivo final es el fraude financiero. En el pasado, los atacantes han pirateado cuentas corporativas con fines de marketing por correo electrónico y han enviado a los usuarios correos electrónicos con frases predefinidas para monederos de criptomonedas.

En los nuevos ataques identificados por los expertos de Expel, los atacantes no explotan una vulnerabilidad en los mecanismos FIDO, sino que abusan de una función legítima de autenticación entre dispositivos. Esta función, WebAuthn, permite a un usuario autenticarse en un dispositivo mediante una clave de seguridad o una aplicación de autenticación en otro. En lugar de conectar físicamente la clave (por ejemplo, mediante USB), la solicitud de autenticación se transmite por Bluetooth o un código QR.

Los nuevos ataques PoisonSeed comienzan redirigiendo a la víctima a un sitio de phishing que imita un portal de inicio de sesión corporativo de Okta o Microsoft 365. Una vez que la víctima introduce sus credenciales, la infraestructura de phishing las utiliza en tiempo real para acceder al portal real. Normalmente, la víctima confirma el acceso con su clave FIDO. Sin embargo, en este esquema, el servidor de phishing inicia el inicio de sesión a través del mecanismo de inicio de sesión de otro dispositivo. Como resultado, el portal real genera un código QR que se transmite a la página de phishing y se muestra a la víctima.

Cuando un usuario escanea este código QR con su teléfono inteligente o una aplicación de autenticación, básicamente aprueba el inicio de sesión del atacante. Esto le permite evadir la seguridad de FIDO al cambiar a la autenticación de dispositivo a dispositivo, que no requiere una conexión de clave física y puede aprobarse de forma remota.

Los investigadores enfatizan que el ataque no explota ninguna vulnerabilidad de FIDO. En cambio, los atacantes explotan una función estándar que les permite reducir el nivel de protección. Para protegerse contra estos ataques, los expertos recomiendan:

• Limita las áreas geográficas desde las que se permite el acceso e implementa un proceso de registro para los empleados que viajan por negocios.
• Comprueba periódicamente si hay nuevos registros de claves FIDO provenientes de ubicaciones geográficas inusuales o de fabricantes poco conocidos.
• Si es posible, solicita a los empleados que usen Bluetooth para la autenticación entre dispositivos, lo que reduce el riesgo de ataques remotos.

También en su informe, los analistas de Expel describen otro incidente en el que el atacante registró su clave FIDO tras comprometer la cuenta de la víctima (presumiblemente mediante phishing). En este caso, ni siquiera fue necesario falsificar un código QR ni interactuar con la víctima: el atacante completó todo el proceso de inicio de sesión.

Este caso demuestra que incluso los métodos de autenticación resistentes al phishing pueden eludirse si se convence al usuario de que complete el proceso de inicio de sesión sin interactuar físicamente con la clave.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli