Evilginx: Conoce este framework para realizar ataques Man in the Middle en servicios web

Evilginx: Conoce este framework para realizar ataques Man in the Middle en servicios web

Sergio De Luz

Evilginx es un framework para realizar ataques Man in the Middle a servicios web, esto significa que podremos utilizar esta herramienta para realizar diferentes auditorías de seguridad donde poder capturar credenciales de usuarios e incluso las cookies de sesión de cualquier servicio web. Aunque en la actualidad ya hay herramientas que realizan estas funciones muy bien, este framework está diseñado para facilitar aún más la labor de los profesionales de la seguridad.

Características de Evilginx

El framework Evilginx funciona con el popular servidor web Nginx, de esta manera, podremos utilizar dicho Nginx para utilizar las funciones de proxy_pass y sub_filter para poder modificar el contenido HTTP al vuelo, ya que todos los datos pasarán por nuestro propio equipo antes de llegar al servidor web real y a nuestra víctima. De esta manera, no solo podremos interceptar todo el contenido, sino también modificarlo como nosotros queramos.

Evilginx también permite utilizar el servidor web Nginx para representar la página de inicio de sesión legítima de algún servicio, sin embargo, podremos capturar los credenciales y también las cookies de sesión. Esta herramienta es capaz de funcionar de forma remota, utilizando un dominio personalizado y un certificado SSL válido, ya que en su núcleo utiliza Nginx que es uno de los servidores web más utilizados del mundo. Puedes ver los principales errores al crear un dominio.

Cómo funciona Evilginx

Lo primero que debe hacer el atacante, es generar un enlace phishing a un determinado dominio para que la víctima se conecte a su servidor web con Nginx. Una vez que esté en el dominio malintencionado, Evilginx actuará de proxy del servicio real por lo que tendremos exactamente la página real de login del servicio donde estemos. De hecho, si el usuario introduce mal sus credenciales de usuario, el servicio le dirá que la contraseña es incorrecta. Al introducir la contraseña correcta podrá iniciar sesión en el servicio de manera transparente, pero nosotros habremos capturado los credenciales o la cookie de sesión.

Esta herramienta también sirve en el caso de que tengamos verificación en dos pasos en los servicios web, ya que Evilginx detecta cuando se ha realizado un inicio de sesión correcto, y captura el token de sesión. Una vez que haya iniciado sesión, la URL que verá la víctima será la dirección del dominio real, ya que Evilginx actúa simplemente como un proxy.

En el siguiente vídeo podéis ver todo el proceso en detalle:

En el proyecto de Evilginx en GitHub tenéis el código fuente de esta herramienta y la posibilidad de descargarla gratuitamente. Os recomendamos leer esta entrada del blog del autor de Evilginx donde encontraréis en detalle cómo funciona esta herramienta y cómo podremos probar que funciona correctamente.

En nuestra página dedicada a la seguridad informática tenéis manuales muy interesantes de cómo proteger vuestros equipos, también podéis acceder a la sección Windows donde tenéis programas para proteger vuestra privacidad y seguridad en Internet. Podéis ver en otro artículo cómo afecta un ataque de camuflaje de dominio.

¡Sé el primero en comentar!