Whisper 2FA: La nueva herramienta de phishing que roba credenciales de Microsoft 365

Redazione RHC : 27 octubre 2025 17:45

Según una nueva investigación de Barracuda Networks , un nuevo kit de phishing como servicio (PhaaS), particularmente insidioso y persistente, está robando credenciales y tokens de autenticación de los usuarios de Microsoft 365. Los expertos de Barracuda han estado monitoreando esta nueva amenaza desde julio de 2025 y la han denominado Whisper 2FA.

Los investigadores han detectado casi un millón de ataques Whisper 2FA dirigidos a cuentas en varias campañas de phishing a gran escala durante el último mes, lo que convierte a Whisper en el tercer kit PhaaS más popular después de Tycoon y EvilProxy.

El análisis técnico de Barracuda demuestra que la funcionalidad de Whisper 2FA es avanzada y adaptable. Sus características innovadoras incluyen bucles continuos para robar tokens de autenticación, múltiples capas de camuflaje y tácticas ingeniosas para dificultar el análisis de código malicioso y datos robados. Esto representa una amenaza real para las organizaciones en rápida evolución.

Resulta que las características principales de Whisper 2FA incluyen:

• Bucle de robo de credenciales . Whisper 2FA puede repetir el proceso de robo de credenciales de cuenta hasta que los atacantes estén seguros de haber obtenido un token de autenticación multifactor (MFA) funcional. Para los defensores, esto significa que ni siquiera los códigos caducados o incorrectos pueden detener el ataque, ya que el kit de phishing sigue pidiendo a la víctima que vuelva a introducir sus datos y reciba un nuevo código hasta que los atacantes obtengan uno funcional. Además, Whisper 2FA está diseñado para adaptarse a cualquier método de MFA utilizado.
• Tácticas complejas para evadir la detección y el análisis . Estas incluyen múltiples capas de ofuscación, como la codificación y el cifrado del código de ataque, la instalación de trampas para las herramientas de análisis y el bloqueo de atajos de teclado de uso común para su inspección. Esto dificulta que el personal de seguridad y las herramientas de defensa analicen la actividad de Whisper 2FA y detecten automáticamente acciones sospechosas y maliciosas.
• Una táctica versátil de phishing . El formulario de phishing de Whisper 2FA envía todos los datos introducidos por la víctima a los ciberdelincuentes, independientemente del botón que pulse el usuario. Los datos robados se manipulan y cifran rápidamente, lo que dificulta que cualquier persona que monitoree la red se dé cuenta inmediatamente de que sus datos de acceso han sido robados.

El kit de phishing Whisper 2FA está avanzando rápidamente tanto en sofisticación técnica como en estrategias antidetección. El análisis de Barracuda destaca cómo las primeras variantes del kit incluían comentarios de texto añadidos por los desarrolladores, varias capas de ofuscación y técnicas antianálisis centradas principalmente en deshabilitar el menú contextual (clic derecho) utilizado para la inspección de código.

En cambio, las últimas variantes del kit descubiertas por Barracuda carecen de comentarios, la ofuscación se ha vuelto más densa y estratificada, y se han añadido nuevas protecciones para dificultar que los defensores analicen o manipulen el sistema. Estas incluyen trucos para detectar y bloquear herramientas de depuración, desactivar accesos directos utilizados por desarrolladores y herramientas de inspección de fallos. Además, esta variante permite validar tokens de autenticación en tiempo real a través del sistema de comando y control de los atacantes.

«Las características y funcionalidades de Whisper 2FA demuestran cómo los kits de phishing han evolucionado desde simples herramientas de robo de credenciales hasta sofisticadas plataformas de ataque», afirma Saravanan Mohankumar, gerente del equipo de Análisis de Amenazas de Barracuda. «Al combinar la intercepción de la autenticación multifactor en tiempo real, múltiples capas de ofuscación y técnicas antianálisis, Whisper 2FA dificulta aún más la detección del fraude por parte de los usuarios y los equipos de seguridad. Para mantenerse protegidas, las organizaciones deben ir más allá de las defensas estáticas y adoptar estrategias multicapa: capacitación de usuarios, MFA resistente al phishing, monitoreo continuo e intercambio de inteligencia sobre amenazas».

El análisis de Whisper 2FA de Barracuda muestra algunas similitudes con Salty 2FA, un nuevo PhaaS centrado en el robo de credenciales de M365 informado recientemente por AnyRun, pero también diferencias notables con rivales más antiguos y establecidos como Evil Proxy, incluido un sistema de robo de credenciales simplificado y más difícil de detectar.

Nuevas técnicas de ofuscación de enlaces maliciosos de Tycoon

En otro informe reciente, Barracuda también descubrió nuevas técnicas utilizadas por el kit Tycoon Phishing-as-a-Service para ocultar enlaces maliciosos en correos electrónicos. En concreto, estas estrategias están diseñadas para ofuscar, confundir y alterar la estructura de enlaces o URL, engañando así a los sistemas de detección automática y garantizando que los enlaces no sean bloqueados. A continuación, se muestran algunos ejemplos:

• Inserte una serie de espacios invisibles en el enlace malicioso escribiendo repetidamente el código » » en su barra de direcciones;
• Agregue caracteres inusuales al enlace , como un símbolo «Unicode» que parece un punto pero no lo es;
• Introduzca una dirección de correo electrónico oculta o un código especial al final del enlace;
• Crear una URL que solo esté parcialmente hipervinculada o que contenga elementos no válidos , como dos «https» o ningún «//», para ocultar el verdadero destino del enlace, mientras que la parte activa parezca inocua;
• Use el símbolo «@» en la dirección del enlace . Los navegadores consideran todo lo anterior al símbolo «@» como «información del usuario», por lo que los atacantes insertan texto aparentemente confiable, como «office365», en esta sección. El destino real del enlace se encuentra después del símbolo «@».
• Usar enlaces web con símbolos inusuales , como barras invertidas (» «) o el símbolo de dólar («$»), que no se usan normalmente en las URL. Estos caracteres pueden alterar la forma en que las herramientas de seguridad leen la dirección, lo que ayuda a que un enlace malicioso evada los sistemas de detección automática.
• Crea una URL donde la primera parte sea inofensiva y esté enlazada, mientras que la segunda, maliciosa, aparezca como texto sin formato . Sin embargo, como la parte maliciosa no está enlazada a nada, las herramientas de seguridad no la leen correctamente.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli