Los autores de malware asociados con el kit de phishing-as-a-Service (PhaaS) conocido como Sneaky 2FA han incorporado la funcionalidad Browser-in-the-Browser (BitB) en sus arsenales, destacando la evolución continua de dichos productos, lo que facilita aún más que los atacantes menos capacitados lancen ataques a gran escala.
Push Security dijo en un informe compartido con The Hacker News que observó que la técnica se utilizaba en ataques de phishing destinados a robar las credenciales de las cuentas de Microsoft de las víctimas.
BitB fue documentado por primera vez en marzo de 2022 por el investigador de seguridad mr.d0x, y detalla cómo utiliza una combinación de código HTML y CSS para crear una ventana de navegador falsa que puede hacerse pasar por una página de inicio de sesión de un servicio legítimo para facilitar el robo de credenciales.
«BitB está diseñado principalmente para enmascarar URL sospechosas de phishing simulando una característica muy común de autenticación en el navegador: un formulario de inicio de sesión emergente», dijo Push Security. «La página de phishing de BitB replica el diseño de una ventana emergente con un iframe que apunta a un servidor malicioso».
Para completar el engaño, una ventana emergente del navegador muestra una URL de inicio de sesión legítima de Microsoft, dando a la víctima la impresión de que está ingresando sus credenciales en una página legítima, cuando en realidad es una página de phishing.
Una cadena de ataque que la compañía observó proporciona una verificación de Cloudflare Turnstile a los usuarios que visitan una URL sospechosa (“previewdoc(.)us”). El ataque avanza a la siguiente etapa sólo si el usuario pasa la verificación de protección del bot. En esta etapa, verá una página con el botón «Iniciar sesión con Microsoft» para ver el documento PDF.
Una vez que se hace clic en el botón, se carga una página de phishing disfrazada de formulario de inicio de sesión de Microsoft en el navegador integrado utilizando la tecnología BitB, exponiendo en última instancia la información ingresada y los detalles de la sesión al atacante, quien luego puede usarlos para apoderarse de la cuenta de la víctima.
Además de utilizar tecnologías de protección contra bots como CAPTCHA y Cloudflare Turnstile para evitar que las herramientas de seguridad accedan a páginas de phishing, los atacantes aprovechan técnicas de carga condicional para garantizar que solo los objetivos previstos tengan acceso, mientras filtran los objetivos restantes o los redirigen a un sitio seguro.
Se sabe que el astuto 2FA, que Sekoia nos llamó la atención por primera vez a principios de este año, emplea una variedad de métodos para frustrar el análisis, incluido el uso de ofuscación y la desactivación de herramientas de desarrollo del navegador que impiden los intentos de inspeccionar páginas web. Además, los dominios de phishing se rotan rápidamente para minimizar la detección.
«Los atacantes están innovando continuamente en técnicas de phishing, especialmente en el contexto del ecosistema PhaaS cada vez más especializado», dijo Push Security. «Dado que los ataques basados en identidad siguen siendo la principal causa de infracciones, los atacantes se ven incentivados a mejorar y reforzar su infraestructura de phishing».
La divulgación se produce a raíz de una investigación que encontró que se pueden usar extensiones de navegador maliciosas para falsificar registros e inicios de sesión con claves de acceso, lo que podría permitir que los actores de amenazas accedan a aplicaciones corporativas sin el dispositivo o los datos biométricos del usuario.
El ataque, denominado «Passkey Pwned Attack», aprovecha el hecho de que no existe un canal de comunicación seguro entre el dispositivo y el servicio, y el navegador que actúa como intermediario puede ser manipulado mediante scripts o extensiones maliciosos, secuestrando efectivamente el proceso de autenticación.
Cuando se registra o se autentica en un sitio web mediante una clave de acceso, el sitio web llama a las API de WebAuthn, como navigator.credentials.create() y navigator.credentials.get(), para comunicarse a través de su navegador web. Este ataque manipula estos flujos mediante inyección de JavaScript.
«La extensión maliciosa intercepta la llamada antes de que llegue al sistema de autenticación y genera un par de claves únicas (incluidas una clave pública y una privada) controladas por el atacante», dijo SquareX. «La extensión maliciosa almacena localmente una clave privada controlada por el atacante, lo que permite reutilizarla para firmar futuros desafíos de autenticación en el dispositivo de la víctima sin generar una nueva clave».
También se envía al atacante una copia de la clave privada, lo que le permite acceder a aplicaciones corporativas en su dispositivo. De manera similar, durante la fase de inicio de sesión, la extensión intercepta una llamada a «navigator.credentials.get()» y el desafío se firma utilizando la clave privada del atacante creada durante el registro.
Eso no es todo. Los actores de amenazas también están encontrando formas de eludir los métodos de autenticación resistentes al phishing, como las claves de acceso, mediante los llamados ataques de degradación. En este ataque, los kits de phishing de tipo man-in-the-middle (AitM) como Tycoon pueden pedir a las víctimas que elijan entre opciones de phishing y menos seguras a cambio de permitir el uso de una clave de acceso.
«Entonces, incluso si existe un método de inicio de sesión resistente al phishing, la existencia de un método de respaldo menos seguro significa que su cuenta sigue siendo vulnerable a ataques de phishing», señaló Push Security en julio de 2025.
A medida que los atacantes continúan perfeccionando sus tácticas, es importante que los usuarios tengan cuidado antes de abrir mensajes sospechosos o instalar extensiones en sus navegadores. Las organizaciones también pueden emplear políticas de acceso condicional para evitar ataques de apropiación de cuentas restringiendo los inicios de sesión que no cumplan ciertas condiciones.
Source link
