Desde 2018 se han estado empleando ampliamente los clientes HTTP para apropiación de cuentas. Según los investigadores de amenazas de Proofpoint, a principios de 2024 dominaron las variantes OkHttp, pero en marzo de 2024 ganó tracción una gama más amplia de clientes HTTP. En términos de escala, en la segunda mitad del año pasado, el 78% de usuarios de Microsoft 365 experimentó al menos un intento de toma de control de cuentas con un cliente HTTP, un aumento del 7% respecto a los seis meses anteriores. Estos ataques alcanzaron su punto álgido en mayo, aprovechando millones de IP secuestradas para atacar cuentas cloud.
De hecho, la mayoría de estos ataques basados en HTTP son intentos de fuerza bruta con bajas tasas de éxito. No obstante, Proofpoint ha investigado amenazas eficaces como una campaña con el cliente HTTP Axios, que combina ataques de precisión con técnicas AitM y logró una tasa media mensual de éxito del 38%, superando medidas como la autenticación multifactor. Axios consigue interceptar, transformar y cancelar el tráfico. Cuando se combina con plataformas AiTM permite robar credenciales y tokens para acceso no autorizado a cuentas.
“Hasta ahora, esta campaña se ha dirigido principalmente a ejecutivos, responsables financieros, gestores de cuentas y personal operativo de diversos sectores como el transporte, la construcción, las finanzas, la informática y la sanidad. Se ha dado prioridad a los objetivos de alto valor con acceso a datos confidenciales o recursos financieros”, explican los investigadores de amenazas de Proofpoint. En total, desde junio hasta finales de noviembre ha afectado a más del 51% de las organizaciones objetivo, comprometiendo el 43% de cuentas de usuarios.
Las herramientas de ataque para apropiaciones de cuentas han evolucionado mucho, y las de cliente HTTP son muy eficaces. En Proofpoint prevén que los ciberdelincuentes sigan adaptando sus estrategias para aprovechar estas tecnologías a fin de mejorar su eficacia, minimizar la exposición y eludir la detección.