Os criadores do malware associado ao kit Phishing-as-a-Service (PhaaS) conhecido como Sneaky 2FA adicionaram ao seu portfólio a funcionalidade Browser-in-the-Browser (BitB), demonstrando a constante evolução dessas ferramentas.
Essa técnica facilita ataques em larga escala, especialmente para criminosos menos experientes.
A empresa Push Security revelou, em relatório compartilhado com o The Hacker News, que identificou o uso do BitB em ataques de phishing voltados ao roubo de credenciais de contas Microsoft.
A técnica BitB foi inicialmente documentada pelo pesquisador mr.d0x em março de 2022, explicando como a combinação de códigos HTML e CSS pode criar janelas de navegador falsas que se passam por páginas legítimas de login, facilitando a captura das credenciais.
De acordo com a Push Security, “o BitB é projetado para ocultar URLs suspeitas de phishing, simulando uma função comum de autenticação inline — um pop-up de login.”
Essas páginas de phishing reproduzem o design de uma janela pop-up, com um iframe apontando para um servidor malicioso.
Para aumentar a ilusão, o pop-up exibe a URL legítima da Microsoft, fazendo a vítima acreditar que está inserindo suas credenciais em uma página oficial, quando na verdade se trata de um site falso.
Em um dos ataques analisados, usuários que acessavam uma URL suspeita ("previewdoc[.]us") enfrentavam inicialmente uma verificação Cloudflare Turnstile para evitar bots.
Somente após passar por essa validação, o ataque prosseguia com a exibição de uma página com o botão “Sign in with Microsoft” para visualizar um documento PDF.
Ao clicar no botão, o usuário era direcionado a uma página de phishing disfarçada de formulário de login Microsoft, carregada em um navegador embutido via técnica BitB.
Os dados inseridos, além das informações da sessão, eram enviados ao atacante, que poderia assumir o controle da conta da vítima.
Além de utilizar barreiras contra bots, como CAPTCHA e Cloudflare Turnstile, os criminosos empregam técnicas de carregamento condicional para garantir que apenas os alvos desejados acessem as páginas maliciosas.
Os demais usuários são bloqueados ou redirecionados para sites legítimos.
O Sneaky 2FA, destacado pela Sekoia no início deste ano, adota diversas estratégias para dificultar análises, como ofuscação de código e bloqueio das ferramentas de desenvolvedor dos navegadores, impedindo a inspeção das páginas.
Os domínios usados são rapidamente rotacionados para evitar serem detectados.
“Os atacantes continuam inovando suas técnicas de phishing, especialmente em um cenário de PhaaS cada vez mais profissionalizado”, afirma a Push Security.
“Com ataques baseados em identidade sendo a principal causa de vazamentos, os criminosos têm incentivos para aprimorar suas infraestruturas de phishing.”
Essa revelação ocorre em um contexto em que pesquisas recentes demonstraram a possibilidade de usar extensões maliciosas em navegadores para falsificar registros e logins com passkeys.
Isso permite que invasores acessem aplicativos corporativos sem precisar do dispositivo ou biometria do usuário.
Conhecido como Passkey Pwned Attack, o método explora a ausência de um canal seguro de comunicação entre dispositivo e serviço.
O navegador, que atua como intermediário, pode ser manipulado por scripts ou extensões maliciosas, comprometendo o processo de autenticação.
Durante o registro ou login com passkeys, o site interage com o navegador por meio das APIs WebAuthn, como navigator.credentials.create() e navigator.credentials.get().
O ataque intercepta essas chamadas por meio da injeção de JavaScript.
Segundo a SquareX, “a extensão maliciosa intercepta a chamada antes que ela alcance o autenticador e gera seu próprio par de chaves controlado pelo atacante, armazenando a chave privada localmente para reutilizá-la em autenticações futuras.”
Além disso, uma cópia da chave privada é enviada ao invasor, facilitando o acesso a aplicativos empresariais em outro dispositivo.
No login, a extensão também intercepta navigator.credentials.get() para assinar o desafio com a chave do atacante criada no registro.
Os criminosos ainda conseguem burlar métodos de autenticação resistentes a phishing, como as passkeys, por meio de ataques de downgrade.
Kits de phishing do tipo adversary-in-the-middle (AitM), como o Tycoon, induzem a vítima a optar por um método menos seguro — e, portanto, suscetível a phishing — em vez da passkey.
“Isso cria um cenário em que, mesmo existindo um método de login resistente a phishing, a presença de uma alternativa menos segura mantém a conta vulnerável”, alertou a Push Security em julho de 2025.
Diante do avanço das técnicas de ataque, é fundamental que usuários mantenham cuidado ao abrir mensagens suspeitas ou instalar extensões no navegador.
Organizações também podem reforçar a defesa adotando políticas de acesso condicional para restringir logins que não atendam a determinados critérios, reduzindo o risco de sequestro de contas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...