Los ataques de phishing basados en blobs están robando contraseñas de manera sigilosa, incluso ante la mirada de tu antivirus. Aquí te explicamos cómo.

Investigadores de seguridad han descubierto una serie de campañas de phishing que emplean una técnica poco común para robar credenciales de acceso, incluso cuando estas están protegidas por cifrado. Según un informe reciente de expertos en ciberseguridad, el método se basa en el uso de URIs de blob, una característica del navegador destinada a mostrar contenido local temporal.

Los URIs de blob se generan y se acceden completamente dentro del navegador del usuario, lo que significa que el contenido de phishing no existe en un servidor público. Esto dificulta enormemente la detección por parte de los sistemas de protección de endpoints más sofisticados.

El proceso de phishing comienza con un correo electrónico que elude fácilmente los Gateways de Correo Electrónico Seguros (SEGs). Estos mensajes suelen contener un enlace que aparenta ser una página legítima, frecuentemente hospedada en dominios de confianza como OneDrive de Microsoft. Sin embargo, esta primera página no aloja directamente el contenido de phishing; en cambio, funciona como un intermediario que carga sigilosamente un archivo HTML controlado por delincuentes que se decodifica en un URI de blob.

El resultado es una página de inicio de sesión falsa que se presenta dentro del navegador de la víctima, diseñada para imitar de cerca el portal de inicio de sesión de Microsoft. Para el usuario, no parece haber nada extraño; no hay URLs sospechosas ni señales obvias de fraude, solo una invitación a iniciar sesión para ver un mensaje seguro o acceder a un documento. Al hacer clic en "Iniciar sesión", la página redirige a otro archivo HTML controlado por el atacante, que genera un URI de blob local que muestra la página de inicio de sesión falsificada.

Dado que los URIs de blob operan completamente en la memoria del navegador y son inaccesibles desde fuera de la sesión, las herramientas de seguridad convencionales no pueden escanear ni bloquear dicho contenido. Jacob Malimban, integrante del equipo de inteligencia de Cofense, destacó que "este método hace que la detección y el análisis sean especialmente complicados", ya que la página de phishing se crea y se presenta localmente, y no está alojada en línea.

Los datos ingresados en la página falsificada son exfiltrados silenciosamente hacia un endpoint controlado por el atacante, dejando a la víctima sin conocimiento del robo. Además, los filtros de seguridad basados en inteligencia artificial también tienen dificultades para detectar estos ataques, pues los URIs de blob rara vez se utilizan de manera maliciosa y pueden no estar bien representados en los datos de entrenamiento.

Los investigadores advierten que, a menos que los métodos de detección evolucionen, esta técnica probablemente gane popularidad entre los cibercriminales. Para defenderse de tales amenazas, se aconseja a las organizaciones adoptar soluciones avanzadas como Firewall-as-a-Service (FWAAS) y Zero Trust Network Access (ZTNA) que ayuden a asegurar el acceso y señalar actividades de inicio de sesión sospechosas.