Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

PoisonSeed: Cómo los ataques de phishing eluden FIDO con WebAuthn

Redazione RHC : 5 agosto 2025 07:43

Los autores de la campaña de phishing PoisonSeedhan encontrado una forma de eludir FIDO (en este caso, FIDO2 con WebAuthn) mediante el mecanismo de autenticación multidispositivo implementado en WebAuthn. Los atacantes convencen a las víctimas para que aprueben las solicitudes de inicio de sesión desde portales corporativos falsos. Tenga en cuenta que la campaña PoisonSeed se basa en el phishing, cuyo objetivo final es el fraude financiero. En el pasado, los atacantes han pirateado cuentas corporativas con fines de marketing por correo electrónico y han enviado a los usuarios correos electrónicos con frases predefinidas para monederos de criptomonedas.

En los nuevos ataques identificados por los expertos de Expel, los atacantes no explotan una vulnerabilidad en los mecanismos FIDO, sino que abusan de una función legítima de autenticación entre dispositivos. Esta función, WebAuthn, permite a un usuario autenticarse en un dispositivo mediante una clave de seguridad o una aplicación de autenticación en otro. En lugar de conectar físicamente la clave (por ejemplo, mediante USB), la solicitud de autenticación se transmite por Bluetooth o un código QR.

Los nuevos ataques PoisonSeed comienzan redirigiendo a la víctima a un sitio de phishing que imita un portal de inicio de sesión corporativo de Okta o Microsoft 365. Una vez que la víctima introduce sus credenciales, la infraestructura de phishing las utiliza en tiempo real para acceder al portal real. Normalmente, la víctima confirma el acceso con su clave FIDO. Sin embargo, en este esquema, el servidor de phishing inicia el inicio de sesión a través del mecanismo de inicio de sesión de otro dispositivo. Como resultado, el portal real genera un código QR que se transmite a la página de phishing y se muestra a la víctima.

Cuando un usuario escanea este código QR con su teléfono inteligente o una aplicación de autenticación, básicamente aprueba el inicio de sesión del atacante. Esto le permite evadir la seguridad de FIDO al cambiar a la autenticación de dispositivo a dispositivo, que no requiere una conexión de clave física y puede aprobarse de forma remota.

Los investigadores enfatizan que el ataque no explota ninguna vulnerabilidad de FIDO. En cambio, los atacantes explotan una función estándar que les permite reducir el nivel de protección. Para protegerse contra estos ataques, los expertos recomiendan:

  • Limita las áreas geográficas desde las que se permite el acceso e implementa un proceso de registro para los empleados que viajan por negocios.
  • Comprueba periódicamente si hay nuevos registros de claves FIDO provenientes de ubicaciones geográficas inusuales o de fabricantes poco conocidos.
  • Si es posible, solicita a los empleados que usen Bluetooth para la autenticación entre dispositivos, lo que reduce el riesgo de ataques remotos.

También en su informe, los analistas de Expel describen otro incidente en el que el atacante registró su clave FIDO tras comprometer la cuenta de la víctima (presumiblemente mediante phishing). En este caso, ni siquiera fue necesario falsificar un código QR ni interactuar con la víctima: el atacante completó todo el proceso de inicio de sesión.

Este caso demuestra que incluso los métodos de autenticación resistentes al phishing pueden eludirse si se convence al usuario de que complete el proceso de inicio de sesión sin interactuar físicamente con la clave.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Exploit RCE de día cero y sin clics a la venta en iOS. Explora el mercado de ciberarmas para espionaje.
Di Redazione RHC - 01/08/2025

Una publicación en un foro en línea del 26 de julio de 2025 nos llamó la atención: un usuario llamado «Bucad» anunciaba la venta de un exploit de día cero para RCE d...

Microsoft enumera 40 empleos que desaparecerán gracias a la IA. Los empleos prácticos se mantienen.
Di Redazione RHC - 01/08/2025

Un nuevo estudio de Microsoft ofrece una perspectiva sorprendente (y perturbadora) sobre cómo la IA generativa está transformando la fuerza laboral global. Contrariamente a la creencia popul...

¡WhatsApp en la mira! En Pwn2Own Irlanda 2025, se otorgará un premio de 1 millón de dólares por un exploit RCE sin clics.
Di Redazione RHC - 01/08/2025

La Iniciativa de Día Cero (ZDI) de Trend Micro ha anunciado una recompensa digna de un corredor de día cero. Se ofrece una recompensa sin precedentes de 1.000.000 de dólares a quien des...

¿Qué es la codificación de vibraciones? Descubramos la nueva frontera de la programación.
Di Diego Corbi - 31/07/2025

«Necesito un sistema para gestionar los eventos de mi iglesia: voluntarios, registro, planificación de eventos comunitarios.». Dos semanas después de escribir esta propuesta, John ...

¡La fiebre de la IA llega a Wyoming! Un centro de datos de 10 gigavatios consumirá más electricidad que 600.000 personas.
Di Redazione RHC - 31/07/2025

El estado estadounidense de Wyoming, con una población de poco menos de 600.000 habitantes, podría contar con un centro de datos que consuma más electricidad que toda la población ...