Fuente: www.darkreading.com – Autor: Elizabeth Montalbano, escritora colaboradora Los ciberdelincuentes han encontrado una nueva forma de eludir lo que ha sido un elemento disuasorio eficaz para los ataques de phishing, con novedosos servicios anti-bot vendidos en la Dark Web que les permiten eludir la advertencia protectora de “Página Roja” en Google Chrome que alerta a los usuarios sobre posibles fraudes. Los servicios anti-bot tienen como objetivo evitar que los rastreadores de seguridad identifiquen páginas de phishing y las incluyan en listas de bloqueo filtrando los robots de ciberseguridad y disfrazando las páginas de phishing de los escáneres de Google, según una nueva investigación publicada hoy por SlashNext. Lo hacen haciendo ineficaz la Página Roja, una característica de Google Safe Browsing (que a su vez es una característica de los navegadores basados ​​en Chromium y otros servicios de Google) que tiene como objetivo proteger a los usuarios de sitios web dañinos advirtiéndoles sobre peligros potenciales, como el phishing. intentos. La página se llama así porque se muestra en rojo y advierte que un sitio al que alguien está navegando puede ser engañoso, aconsejándole que lo evite. Al hacerlo, la advertencia puede limitar “severamente” “el éxito potencial de los ataques de phishing”, según la publicación, lo que supone “un obstáculo enorme” para las campañas de amenazas. Esto se debe a que estas campañas dependen de altas tasas de clics, que se reducen significativamente cuando la detección de Google marca una página de phishing y la agrega a una lista de bloqueo. Ahora, varios servicios anti-bot que se encuentran en la Dark Web, como Otus Anti-Bot, Remove Red y Limitless Anti-Bot, “amenazan con socavar esta línea de defensa, exponiendo potencialmente a más usuarios a sofisticados intentos de phishing”, según el correo. Cómo funcionan los servicios Anti-Bot Aunque cada servicio tiene sus propias características únicas, todos se basan en una combinación de varias técnicas que permiten que el contenido malicioso evite la función de página roja de Google. La mayoría se basa en mecanismos de detección de bots que analizan cadenas de agentes de usuario y direcciones IP para filtrar el tráfico de bots de seguridad conocidos que, de otro modo, se bloquearía, según SlashNext. “Las listas públicas de rastreadores de ciberseguridad están ampliamente disponibles (por ejemplo, Shodan), lo que facilita filtrar el tráfico de robots de seguridad conocidos”, según la publicación. “Una vez que una dirección IP o un agente de usuario se marca como un rastreador de seguridad, se bloquea, lo que garantiza que la página siga siendo accesible para los usuarios reales pero oculta a las entidades de ciberseguridad”. Los servicios también utilizan técnicas de encubrimiento, como el cambio de contexto o la ofuscación de JavaScript, para ofrecer contenido diferente según el perfil del visitante. Estas técnicas redirigen eficazmente a los rastreadores de seguridad a contenido benigno mientras dirigen al usuario a una página de phishing. Otra característica común de los servicios anti-bot es introducir CAPTCHA o páginas de desafío para filtrar los escáneres automatizados que normalmente analizarían una página web en busca de contenido malicioso. “Dado que la mayoría de los bots no pueden resolver CAPTCHA, esta técnica los bloquea efectivamente y permite el paso a usuarios reales”, según la publicación. Algunos servicios anti-bots podrían incluso introducir un retraso, lo que confunde aún más a los robots de seguridad al hacer que “se agote el tiempo” antes de que puedan escanear la página y así advertir a los usuarios de una posible amenaza a la seguridad. También pueden eludir la página roja de Google entregando contenido específico de la región y bloqueando el tráfico extranjero, según SlashNext. Por ejemplo, si una campaña de phishing está dirigida a un banco coreano, el servicio podría permitir que sólo el tráfico coreano visite el sitio mientras bloquea las direcciones IP extranjeras, señalaron los investigadores. Además, estos métodos pueden volverse extremadamente específicos en términos geográficos, incluso limitando las campañas al nivel de la ciudad, lo que impediría que los servicios internacionales de ciberseguridad detecten la página por completo, según la publicación. No completamente infalible Si bien estos servicios anti-bot pueden reducir significativamente el alcance de la página roja de Google, tienen sus limitaciones, señalaron los investigadores. Los servicios maliciosos funcionan mejor en campañas de phishing menos sofisticadas porque pueden identificar y bloquear rastreadores conocidos en la cadena usuario-agente, donde muchos proveedores de seguridad declaran sus bots y rastreadores, señalaron los investigadores. “Esto permite a los ciberdelincuentes filtrar el tráfico de bots, prolongando la vida útil de las campañas de phishing”, según la publicación. Sin embargo, en operaciones de phishing más sofisticadas, el análisis manual realizado por analistas eventualmente detectará la página, lo que llevará a su inclusión en las listas de bloqueo. Aún así, cualquier cosa que pueda limitar la detección de phishing por parte de los usuarios finales es una amenaza para la seguridad general, no sólo de los individuos sino también de las empresas. Esto se debe a que, a pesar de ser una de las formas más antiguas de delito cibernético, el phishing sigue siendo una de las principales formas en que los atacantes obtienen entrada inicial a las redes corporativas para realizar otros tipos de actividades maliciosas, como ataques de ransomware. Además, el aumento de la disponibilidad de kits de phishing que facilitan a los atacantes la creación de campañas, la creciente sofisticación de las tácticas de phishing y ahora la aparición de servicios anti-bots hacen que la detección por parte de individuos y defensores sea más compleja. Según SlashNext, la mejor defensa contra el uso de servicios anti-bot para eludir la página roja de Google es utilizar plataformas de seguridad que puedan detectar amenazas en tiempo real en aplicaciones de correo electrónico, dispositivos móviles y mensajería con la mayor precisión posible. El análisis manual antes mencionado de páginas de phishing y la posterior adición de sitios maliciosos a las listas de bloqueo también pueden impedir que estos servicios sean efectivos. URL de la publicación original: https://www.darkreading.com/threat-intelligence/anti-bot-services-cybercrooks-bypass-google-red-page