Los autores de malware asociados con un kit de phishing como servicio (PhaaS) llamado Sneaky 2FA han integrado la funcionalidad de navegador en el navegador (BitB) en su arsenal, lo que subraya la evolución continua de dichas ofertas y facilita aún más que los actores de amenazas menos sofisticados lleven a cabo ataques a escala.
Push Security dijo en un informe compartido con The Hacker News que había visto la técnica utilizada en ataques de phishing destinados a robar las credenciales de las cuentas de Microsoft de las víctimas.
BitB, documentado por primera vez en marzo de 2022 por el investigador de seguridad mr.d0x, describe cómo es posible utilizar una combinación de código HTML y CSS para crear ventanas de navegador falsas que pueden hacerse pasar por páginas de inicio de sesión para servicios legítimos y facilitar el robo de credenciales de inicio de sesión.
“BitB está diseñado principalmente para enmascarar URL sospechosas de phishing simulando una función de autenticación de navegador bastante estándar: un formulario de inicio de sesión emergente”, dijo Push Security. “Las páginas de phishing BitB reproducen el diseño de una ventana emergente con un iframe que apunta a un servidor malicioso”.
Para completar el engaño, la ventana emergente del navegador muestra una URL de inicio de sesión legítima de Microsoft, dando a la víctima la impresión de que está ingresando las credenciales de inicio de sesión en una página legítima, cuando en realidad es una página de phishing.
En una cadena de ataque que observó la empresa, los usuarios que llegan a una URL sospechosa (“previewdoc(.)us”) reciben una verificación de Cloudflare Turnstile. Solo después de que el usuario pasa la verificación de protección contra bots, el ataque pasa a la siguiente etapa, que muestra una página con el botón “Iniciar sesión con Microsoft” para ver un documento PDF.
Una vez que se hace clic en el botón, la técnica BitB se utiliza para cargar una página de phishing que se hace pasar por un formulario de inicio de sesión de Microsoft en un navegador integrado y, en última instancia, pasa la información ingresada y los detalles de la sesión al atacante, quien luego puede usarlos para apoderarse de la cuenta de la víctima.
Además de utilizar tecnologías de protección contra bots como CAPTCHA y Cloudflare Turnstile para evitar que las herramientas de seguridad accedan a las páginas de phishing, los atacantes utilizan técnicas de carga condicional para garantizar que solo los objetivos previstos puedan acceder a ellas mientras filtran el resto o los redirigen a sitios web inofensivos.
Se sabe que Sneaky 2FA, que Sekoia destacó por primera vez a principios de este año, utiliza varios métodos para resistir el análisis, incluida la ofuscación y desactivación de las herramientas de desarrollo del navegador para evitar intentos de inspeccionar las páginas web. Además, los dominios de phishing se rotan rápidamente para minimizar la detección.
“Los atacantes están evolucionando continuamente sus técnicas de phishing, especialmente en el contexto de un ecosistema PhaaS cada vez más profesionalizado”, dijo Push Security. “Dado que los ataques basados en identidad siguen siendo la principal causa de violaciones de seguridad, los atacantes se ven incentivados a refinar y mejorar su infraestructura de phishing”.
Omitir el inicio de sesión con contraseña mediante la manipulación del proceso WebAuthn
La revelación se produce en medio de una investigación que descubrió que es posible utilizar una extensión de navegador maliciosa para falsificar el registro y los inicios de sesión con claves de acceso, lo que permite a los actores de amenazas acceder a aplicaciones corporativas sin necesidad del dispositivo del usuario ni de sus datos biométricos.
El llamado “ataque de contraseña” aprovecha el hecho de que no existe un canal de comunicación seguro entre un dispositivo y el servicio y que el navegador que actúa como intermediario puede ser manipulado mediante un script o una extensión engañosa, secuestrando efectivamente el proceso de autenticación.
Al registrarse o autenticarse en sitios web mediante claves de acceso, el sitio web se comunica a través del navegador web llamando a las API de WebAuthn como navigator.credentials.create() y navigator.credentials.get(). El ataque manipula estos flujos mediante inyección de JavaScript.
“La extensión maliciosa intercepta la llamada antes de que llegue al autenticador y genera su propio par de claves controladas por el atacante que contiene una clave privada y una clave pública”, dijo SquareX. “La extensión maliciosa almacena la clave privada controlada por el atacante localmente, lo que le permite reutilizarla para firmar futuros desafíos de autenticación en el dispositivo de la víctima sin generar una nueva clave”.
También se proporciona al atacante una copia de la clave privada para permitirle acceder a las aplicaciones corporativas en su propio dispositivo. Asimismo, durante la fase de registro, la extensión intercepta la llamada a navigator.credentials.get() para firmar el desafío con la clave privada del atacante creada durante el registro.
Eso no es todo. Los actores de amenazas también han encontrado una manera de eludir los métodos de autenticación resistentes al phishing, como las claves de acceso, mediante el llamado ataque de degradación, en el que los kits de phishing Adversary-in-the-Middle (AitM) como Tycoon pueden pedirle a la víctima que elija entre una opción menos segura que sea susceptible de phishing, en lugar de permitirles usar una clave de acceso.
“Entonces te encuentras en una situación en la que incluso si existe un método de inicio de sesión resistente al phishing, la presencia de un método de respaldo menos seguro significa que la cuenta sigue siendo vulnerable a ataques de phishing”, señaló Push Security en julio de 2025.
A medida que los atacantes continúan perfeccionando sus tácticas, es importante que los usuarios estén atentos antes de abrir mensajes sospechosos o instalar extensiones en el navegador. Las organizaciones también pueden adoptar políticas de acceso condicional para evitar ataques de apropiación de cuentas restringiendo los inicios de sesión que no cumplan con ciertos criterios.
About The Author
