Barracuda ha detectado cerca de un millón de ataques Whisper 2FA dirigidos a cuentas en múltiples campañas de phishing a gran escala.

Whisper 2FA se convierte en el tercer PhaaS más común después de Tycoon y EvilPRoxy.

Según una nueva investigación de Barracuda Networks, un kit emergente, sigiloso y persistente de phishing como servicio (PhaaS) está robando credenciales y tokens de autenticación de los usuarios de Microsoft 365. Los analistas de amenazas de Barracuda llevan desde julio de 2025 rastreando este nuevo y rápidamente evolutivo PhaaS, al que han bautizado como Whisper 2FA.

En el último mes, Barracuda ha detectado cerca de un millón de ataques Whisper 2FA dirigidos a cuentas en múltiples campañas de phishing a gran escala, lo que convierte a Whisper en el tercer PhaaS más común después de Tycoon y EvilProxy.

El análisis técnico de Barracuda muestra que la funcionalidad de Whisper 2FA es avanzada y adaptable. Entre sus características innovadoras se incluyen bucles continuos para robar tokens de autenticación, múltiples capas de camuflaje y tácticas tortuosas para obstaculizar el análisis de su código malicioso y los datos robados. Whisper 2FA está evolucionando rápidamente y supone una amenaza considerable para las organizaciones.

Las características principales de Whisper 2FA incluyen:

Bucle de robo de credenciales. Whisper 2FA puede repetir continuamente el proceso de robo de credenciales contra una cuenta hasta que los atacantes estén satisfechos de que tienen un token de autenticación multifactorial (MFA) que funciona. Para los defensores, esto significa que incluso los códigos caducados o incorrectos no detienen el ataque, ya que el kit de phishing sigue pidiendo a la víctima que vuelva a introducir sus datos y reciba un nuevo código hasta que los atacantes obtengan uno que funcione. Whisper 2FA ha sido diseñado para adaptarse a cualquier método MFA que utilice la cuenta de la víctima.

Tácticas complejas para evadir la detección y el análisis. Estas incluyen múltiples capas de ofuscación, como la codificación y el cifrado del código de ataque, la colocación de trampas para las herramientas de análisis y el bloqueo de los atajos de teclado comunes utilizados para la inspección. Esto dificulta que los investigadores y las herramientas de seguridad analicen lo que está haciendo Whisper 2FA y detecten automáticamente actividades sospechosas y maliciosas.

Un formulario de phishing versátil. El formulario de phishing de Whisper 2FA envía todos los datos introducidos por la víctima a los atacantes, independientemente del botón que pulse el usuario. Los datos robados se codifican y cifran rápidamente, lo que dificulta que cualquier que supervise la red pueda ver inmediatamente que se han robados los datos de inicio de sesión.

El kit de phishing Whisper 2FA está evolucionando rápidamente tanto en complejidad técnica como en estrategias anti detección.

El análisis de Barracuda muestra que las primeras variantes incluían comentarios de texto añadidos por los desarrolladores, algunas capas de ofuscación y técnicas anti análisis que se centraban principalmente en desactivar el menú contextual del botón derecho del ratón utilizado en la inspección del código.

Las variantes más recientes observadas por Barracuda no tienen comentarios, la ofuscación se ha vuelto más densa y multicapa, y se han añadido nuevas protecciones para dificultar a los atacantes el análisis o la manipulación del sistema. Entre ellas se incluyen trucos para detectar y bloquear herramientas de depuración, desactivar accesos directos utilizados por los desarrolladores y bloquear herramientas de inspección. Esta variante también permite validar los token de autenticación en tiempo real a través del sistema de comando y control del atacante.

"Las características y funcionalidades de Whisper 2FA muestran cómo los kits de phishing han evolucionado desde simples ladrones de credenciales hasta sofisticadas plataformas de ataque con servicios completos", afirma Saravanan Mohankumar, director del equipo de análisis de amenazas de Barracuda. "Al combinar la interceptación de MFA en tiempo real, múltiples capas de ofuscación y técnicas anti análisis, Whisper 2FA dificulta la detección del fraude por parte de los usuarios y los equipos de seguridad. Para mantenerse protegidas, las organizaciones deben ir más allá de las defensas estáticas y adoptar estrategias por capas: formación de los usuarios, MFA resistente al phishing, supervisión continua e intercambio de información sobre amenazas."