Hacker polonês lança novas ferramentas que ignoram 2FA para ataques de phishing

Piotr Duszyński, um pesquisador de segurança polonês divulgou uma nova ferramenta de testes de penetração chamada Modlishka. Essa ferramenta facilita a automatização de ataques de phishing e até mesmo a quebra de contas protegidas por 2FA (autenticação de dois fatores).

O Modlishka está localizado entre o usuário e o site de destino (como Gmail, Yahoo ou ProtonMail). Quando a vítima se conecta ao servidor Modlishka (domínio de phishing hospedado), o componente de proxy reverso por trás envia uma solicitação para o site simulado. Embora a vítima receba o conteúdo real do site legítimo, todas as informações de tráfego e interação entre a vítima e o site legítimo passam e são registradas no servidor Modlishka. A senha digitada pelo usuário será gravada automaticamente no painel de back-end do Modlishka. Quando o usuário solicita um token de 2FA da conta, o proxy reverso também solicita que o usuário insira um token de 2FA. Se um invasor puder coletar esses tokens do 2FA em tempo real, eles poderão fazer login na conta da vítima e estabelecer uma nova sessão legítima.

O Modlishka é projetado para ser simples e não requer nenhum modelo. Todo o conteúdo pode ser obtido em tempo real a partir de sites legítimos, para que o invasor não precise gastar muito tempo atualizando e ajustando o modelo. O invasor precisa apenas de um domínio de phishing (para o servidor Modlishka) e de um certificado TLS válido para evitar que o usuário receba um aviso de que a conexão HTTPS está ausente.

Phishing com Modlishka (bypass 2FA)de Piotr Duszynskino Vimeo.

De acordo com as informações na página do Github,

Alguns dos mais importantes recursos do ‘Modlishka’:

  • Suporte para a maioria dos esquemas de autenticação 2FA (por design).
  • Nenhum modelo de site (basta apontar Modlishka para o domínio de destino – na maioria dos casos, ele será tratado automaticamente).
  • Controle total do fluxo de tráfego TLS de origem “cruzada” dos navegadores de suas vítimas.
  • Cenários de phishing flexíveis e facilmente configuráveis ​​através de opções de configuração.
  • Injeção de carga útil JavaScript baseada em padrões.
  • Site de distribuição de todos os cabeçalhos de criptografia e segurança (de volta ao estilo MITM dos anos 90).
  • Coleta de credenciais do usuário (com contexto baseado em parâmetros passados ​​do URL).
  • Pode ser estendido com suas idéias através de plugins.
  • Design sem estado. Pode ser ampliado facilmente para um número arbitrário de usuários – ex. através de um balanceador de carga DNS.
  • Painel da Web com um resumo de credenciais coletadas e representação de sessão do usuário (beta).
  • Escrito em Go.

Modlishka está agora disponível  no GitHub.

Fonte Meterpreter