O kit Sneaky2FA, um serviço de phishing-as-a-service (PhaaS) amplamente utilizado, incorporou recentemente a técnica browser-in-the-browser (BitB) para aprimorar seus ataques direcionados ao roubo de credenciais e sessões ativas da Microsoft.
Atualmente, o Sneaky2FA está entre as plataformas PhaaS mais populares, junto com Tycoon2FA e Mamba2FA, com foco principal em contas Microsoft 365.
Anteriormente, o kit era conhecido por ataques baseados em SVG e pela tática attacker-in-the-middle (AitM), que intercepta o processo de autenticação por meio de uma página de phishing, retransmitindo os tokens de sessão legítimos para os invasores.
Segundo relatório da Push Security, a novidade do Sneaky2FA é a inclusão do pop-up BitB.
Essa janela falsa reproduz com precisão o login da Microsoft e se adapta automaticamente ao sistema operacional e navegador da vítima, tornando a armadilha ainda mais realista.
Ao capturar as credenciais e os tokens de sessão ativos, o invasor consegue acessar a conta mesmo com a autenticação de dois fatores (2FA) ativada, bypassando essa proteção.
O BitB é uma técnica criada pelo pesquisador mr.d0x em 2022, já utilizada em ataques reais contra serviços como Facebook e Steam.
O usuário que acessa o site controlado pelo invasor vê um pop-up falso que simula o navegador, com um formulário de login idêntico ao original.
Esse pop-up é construído em um iframe configurável, que exibe a URL oficial do serviço-alvo, reforçando sua aparência confiável ao simular um pop-up OAuth legítimo.
No caso do Sneaky2FA, o usuário inicialmente acessa um link de phishing hospedado em ‘previewdoc[.]com’, passando por um teste antispam da Cloudflare (Turnstile) antes de ser convidado a fazer login na Microsoft para visualizar um documento.
Ao clicar em “Sign in with Microsoft”, o falso pop-up BitB é exibido, com barra de URL e layout ajustados ao navegador (Edge no Windows ou Safari no macOS), reforçando a ilusão.
Dentro dessa janela falsa, o Sneaky2FA carrega sua página de phishing via proxy reverso, explorando o fluxo legítimo de login da Microsoft para capturar tanto as credenciais quanto os tokens de sessão por meio do sistema AitM já existente.
Em resumo, o BitB funciona como uma camada extra de disfarce, aumentando o realismo da cadeia de ataque do Sneaky2FA.
O kit também utiliza carregamento condicional para direcionar bots e pesquisadores a páginas inocentes, evitando a detecção.
Segundo a Push Security, as páginas do Sneaky2FA são altamente ofuscadas: o HTML e JavaScript são manipulados para dificultar a detecção estática, usando técnicas como quebra de textos em tags invisíveis, imagens codificadas para elementos visuais e outras modificações que passam despercebidas pelo usuário, mas dificultam as ferramentas de análise.
Uma forma prática de identificar um pop-up falso é tentar arrastá-lo para fora da janela do navegador.
Como ele é um iframe, isso não será possível.
Além disso, pop-ups legítimos aparecem na barra de tarefas como janelas independentes do navegador.
O suporte à técnica BitB também foi identificado em outro serviço PhaaS, o Raccoon0365/Storm-2246, recentemente desarticulado pela Microsoft e pela Cloudflare após roubar milhares de credenciais do Microsoft 365.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...