Los autores de malware asociados con un kit de phishing como servicio (PhaaS) conocido como Sneaky 2FA han incorporado la funcionalidad Browser-in-the-Browser (BitB) en su cúmulo, lo que subraya la cambio continua de dichas ofertas y facilita aún más que los actores de amenazas menos capacitados realicen ataques a escalera.
Push Security, en un documentación compartido con The Hacker News, dijo que observó el uso de la técnica en ataques de phishing diseñados para robar las credenciales de las cuentas de Microsoft de las víctimas.
BitB fue documentado por primera vez por el investigador de seguridad mr.d0x en marzo de 2022, detallando cómo es posible exprimir una combinación de código HTML y CSS para crear ventanas de navegador falsas que pueden hacerse acontecer por páginas de inicio de sesión para servicios legítimos con el fin de proporcionar el robo de credenciales.
“BitB está diseñado principalmente para tapar URL sospechosas de phishing simulando una función sobrado común de autenticación en el navegador: un formulario de inicio de sesión emergente”, dijo Push Security. “Las páginas de phishing BitB replican el diseño de una ventana emergente con un iframe que apunta a un servidor receloso”.
Para completar el farsa, la ventana emergente del navegador muestra una URL de inicio de sesión legítima de Microsoft, dando a la víctima la impresión de que está ingresando las credenciales en una página legítima, cuando, en verdad, es una página de phishing.
En una condena de ataque observada por la empresa, los usuarios que llegan a una URL sospechosa (“previewdoc(.)us”) reciben una comprobación de Cloudflare Turnstile. Solo luego de que el heredero pasa la comprobación de protección contra bots, el ataque avanza a la futuro etapa, que implica mostrar una página con el capullo “Iniciar sesión con Microsoft” para poder ver un documento PDF.
Una vez que se hace clic en el capullo, se carga una página de phishing disfrazada de formulario de inicio de sesión de Microsoft en un navegador integrado utilizando la técnica BitB, exfiltrando finalmente la información ingresada y los detalles de la sesión al atacante, quien luego puede usarlos para apoderarse de la cuenta de la víctima.
Adicionalmente de utilizar tecnologías de protección contra bots como CAPTCHA y Cloudflare Turnstile para evitar que las herramientas de seguridad accedan a las páginas de phishing, los atacantes aprovechan técnicas de carga condicional para asegurar que solo los objetivos previstos puedan lograr a ellas, mientras filtran el resto o los redirigen a sitios benignos.
Se sabe que Sneaky 2FA, destacado por primera vez por Sekoia a principios de este año, adopta varios métodos para resistir el prospección, incluido el uso de ofuscación y la desactivación de herramientas de exposición del navegador para evitar intentos de inspeccionar las páginas web. Adicionalmente, los dominios de phishing se rotan rápidamente para minimizar la detección.
“Los atacantes están innovando continuamente sus técnicas de phishing, particularmente en el contexto de un ecosistema PhaaS cada vez más profesionalizado”, dijo Push Security. “Transmitido que los ataques basados en identidad siguen siendo la principal causa de infracciones, los atacantes se ven incentivados a refinar y mejorar su infraestructura de phishing”.
La divulgación se produce en el contexto de una investigación que encontró que es posible gastar una extensión de navegador maliciosa para falsificar el registro y los inicios de sesión con claves de comunicación, permitiendo así que los actores de amenazas accedan a aplicaciones empresariales sin el dispositivo o los datos biométricos del heredero.
El Passkey Pwned Attack, como se le pira, aprovecha el hecho de que no existe un canal de comunicación seguro entre un dispositivo y el servicio y que el navegador, que actúa como intermediario, puede ser manipulado mediante un script o extensión maliciosa, secuestrando efectivamente el proceso de autenticación.
Al registrarse o autenticarse en sitios web mediante claves de comunicación, el sitio web se comunica a través del navegador web invocando las API de WebAuthn como navigator.credentials.create() y navigator.credentials.get(). El ataque manipula estos flujos mediante inyección de JavaScript.
“La extensión maliciosa intercepta la llamamiento ayer de que llegue al autenticador y genera su propio par de claves controladas por el atacante, que incluye una secreto privada y una secreto pública”, dijo SquareX. “La extensión maliciosa almacena localmente la secreto privada controlada por el atacante para poder reutilizarla para firmar futuros desafíos de autenticación en el dispositivo de la víctima sin gestar una nueva secreto”.
Igualmente se transmite una copia de la secreto privada al atacante para permitirle lograr a las aplicaciones empresariales en su propio dispositivo. De modo similar, durante la etapa de inicio de sesión, la extensión intercepta la llamamiento a “navigator.credentials.get()” para firmar el desafío con la secreto privada del atacante creada durante el registro.
Eso no es todo. Los actores de amenazas todavía han antagónico una modo de eludir los métodos de autenticación resistentes al phishing, como las claves de comunicación, mediante lo que se conoce como un ataque de degradación, donde los kits de phishing de adversario en el medio (AitM) como Tycoon pueden pedirle a la víctima que elija entre una opción menos segura que sea susceptible de phishing en motivo de permitirles usar una secreto de comunicación.
“Entonces, existe una situación en la que incluso si existe un método de inicio de sesión resistente al phishing, la presencia de un método de respaldo menos seguro significa que la cuenta sigue siendo endeble a ataques de phishing”, señaló Push Security en julio de 2025.
A medida que los atacantes continúan perfeccionando sus tácticas, es esencial que los usuarios estén atentos ayer de desobstruir mensajes sospechosos o instalar extensiones en el navegador. Las organizaciones todavía pueden adoptar políticas de comunicación condicional para evitar ataques de apropiación de cuentas restringiendo los inicios de sesión que no cumplan con ciertos criterios.
