Varios gestores de contraseñas importantes, muy usados por usuarios que los usan debido a la alta seguridad que precisan sus logins, han sido suplantados en una nueva campaña de phishing. Entre ellos se encuentra Bitwarden, según han advertido los expertos, con lo que es un ataque de seguridad especialmente grande.
Una falsificación del sitio web real de Bitwarden, con la url “bitwardenlogin.com”, apareció como resultado de una búsqueda en Google Ads. Así se situaba en los primeros puestos cuando los usuarios buscaban la frase “bitwarden password manager”. No es la primera vez que se usan los anuncios de Google Ads para esparcir webs fraudulentas.
El supuestamente seguro Bitwarden ha sido usado para hacer phishing
El dominio del anuncio era “appbitwarden.com”, que parece haber desaparecido de los resultados de Google y el sitio parece haber cerrado y ser inaccesible. Los usuarios informaron a principios de esta semana en Reddit y en los foros oficiales de Bitwarden de que se habían topado con el anuncio de phishing y expresaron su preocupación por la similitud de la página falsa y la URL con la real.
Un usuario observó incluso que el sitio web falso tenía un certificado SSL, que permite una conexión cifrada y que suele considerarse señal de un sitio web seguro y legítimo, pero que se ve que puede usarse para simular ser otras webs, porque técnicamente te estás conectando a una web que simula ser otra pero que tiene su propia conexión segura.
Bleeping Computer intentó probar la página falsa introduciendo credenciales falsas de la cuenta de Bitwarden para ver qué pasaba, y descubrió que aceptaba las credenciales, sea cuales sean. Una vez enviadas, redirigía a los usuarios a la página legítima de inicio de sesión de Bitwarden.
Sin embargo, la página de phishing se cerró antes de poder confirmar lo que habría ocurrido con credenciales reales. Sería un ataque de de phishing AiTM que utiliza proxies para enviar la solicitud de MFA al sitio web real, que la devuelve al sitio de phishing, que a su vez la envía al usuario. El proceso se repite de nuevo para introducir el código MFA, sin que ninguna de las partes sepa que el proceso de autenticación está siendo interceptado por un malhechor. El sitio real almacena entonces una cookie de la sesión que contiene la información de autenticación para esa sesión. Esta cookie es robada por el actor de la amenaza para poder engañar a la víctima de nuevo sin necesidad de pasar por otra solicitud MFA.
Y no es solo Bitwarden el único gestor de contraseñas que ha sido afectado. 1Password y LastaPass serían otros gestores muy populars que también habrían sido afectados. Los usuarios de Norton LifeLock también vieron comprometidas sus contraseñas en un ataque de “credential stuffing“, y Passwordstate también sufrió una brecha de seguridad. Como es habitual, es recomendable cambiar la contraseña si crees que has sido afectado, creando una contraseña maestra que sea larga, pero fácil de recordar mediante un ejercicio mnemotécnico personal.
