Подмолен 2FA фишинг комплет додава BitB pop-up прозорци дизајнирани да го имитираат адресното поле на прелистувачот

Авторите на малициозен софтвер поврзани со Phishing-as-a-Service (PhaaS) комплетот познат како Sneaky 2FA вградија Browser-in-the-Browser (BitB) функционалност во својот арсенал, нагласувајќи го континуираниот развој на ваквите алатки и дополнително олеснувајќи им на помалку вештите актери на закани да изведуваат напади во големи размери.

Во извештај споделен со The Hacker News, Push Security наведува дека ја забележал употребата на оваа техника во фишинг напади насочени кон кражба на Microsoft акредитиви од жртвите.

BitB беше првично документиран од истражувачот за безбедност mr.d0x во март 2022 година, со детално објаснување како е можно да се искористи комбинација од HTML и CSS код за создавање лажни прозорци на прелистувач кои можат да изгледаат како страници за пријава на легитимни сервиси, со цел олеснување на кражба на акредитиви.

„BitB е првенствено дизајниран да ги прикрие сомнителните фишинг URL адреси преку симулирање на сосема нормална функција на автентикација во прелистувач – pop-up форма за најавување,“ вели Push Security. „BitB фишинг страниците ја реплицираат формата на pop-up прозорец со iframe што укажува на малициозен сервер.“

За да ја доврши измамата, pop-up прозорецот од прелистувачот прикажува легитимна Microsoft URL-адреса за најава, давајќи му на корисникот впечаток дека ги внесува акредитивите на вистинска страница, додека, всушност, се работи за phishing страница.

Во еден напад што го забележала компанијата, корисниците кои ќе пристигнат на сомнителниот URL („previewdoc[.]us“) добиваат Cloudflare Turnstile проверка. Само по успешно поминување на заштитата од ботови, нападот преминува во следната фаза, која вклучува прикажување страница со копче „Sign in with Microsoft“ за да се погледне PDF документ.

Откако корисникот ќе кликне на копчето, phishing страница маскирана како Microsoft формулар за најава се вчитува во вгнезден прелистувач користејќи ја техниката BitB, при што внесените информации и деталите од сесијата се ексфилтрираат до напаѓачот, кој потоа може да ги искористи за преземање на сметката на жртвата.

Покрај користењето на технологии за заштита од ботови како CAPTCHA и Cloudflare Turnstile со цел да се спречи пристап на безбедносни алатки до phishing страниците, напаѓачите користат техники на условно вчитување за да осигурат дека само предвидените цели можат да пристапат до страниците, додека останатите се блокираат или пренасочуваат кон безопасни страници.

Sneaky 2FA, првпат истакнат од Sekoia претходно оваа година, е познат по користење различни методи за отпор кон анализа, вклучувајќи обфускација и оневозможување на developer tools во прелистувачот за да се спречат обиди за инспекција на веб-страниците. Дополнително, phishing домените брзо се ротираат за да се минимизира откривањето.

„Напаѓачите континуирано ги усовршуваат своите phishing техники, особено во контекст на сè по професионализираниот PhaaS екосистем,“ велат од Push Security. „Со тоа што нападите базирани на идентитет продолжуваат да бидат водечка причина за пробивања, напаѓачите имаат силен мотив постојано да ја подобруваат својата phishing инфраструктура.“

Ова откритие доаѓа во контекст на истражување кое покажа дека е можно да се искористи малициозен browser extension за фалсификување на passkey регистрација и најави, овозможувајќи им на напаѓачите пристап до ентерпрајз апликации без уредот или биометријата на корисникот.

Нападот, наречен Passkey Pwned Attack, ја искористува фактот дека нема безбеден комуникациски канал помеѓу уредот и сервисот, и дека прелистувачот, кој служи како посредник, може да биде манипулиран преку злонамерен скрипт или екстензија, ефективно преземајќи го процесот на автентикација.

При регистрација или автентикација на веб-страници со passkeys, веб-страницата комуницира преку прелистувачот користејќи WebAuthn APIs, како navigator.credentials.create() и navigator.credentials.get(). Нападот ги манипулира овие процеси преку JavaScript injection.

„Малциозната екстензија го пресретнува повикот пред да стигне до автентикаторот и генерира сопствен пар клучеви под контрола на напаѓачот, кој вклучува приватен и јавен клуч,“ објаснува SquareX. „Екстензијата го складира приватниот клуч на напаѓачот локално, за да го користи повторно при идни автентикациски предизвици на уредот на жртвата, без потреба од генерирање нов клуч.“

Копија од приватниот клуч исто така се пренесува на напаѓачот за да му овозможи пристап до корпоративни апликации од својот уред. Слично на тоа, за време на фазата на најавување, повикот кон „navigator.credentials.get()“ се пресретнува од екстензијата за да се потпише предизвикот со приватниот клуч на напаѓачот создаден при регистрацијата.

Но, тоа не е се. Напаѓачите исто така пронашле начин како да ги заобиколат методите за автентикација отпорни на phishing, како passkeys, преку таканаречен downgrade attack, каде phishing китови од типот adversary-in-the-middle (AitM), како Tycoon, можат да ја натераат жртвата да избере помалку безбедна опција што може да се phishing-ира, наместо да ѝ овозможат да користи passkey.

„Значи, се создава ситуација каде дури и ако постои метод за најавување отпорен на phishing, присуството на помалку безбедна резервна опција значи дека акаунтот сè уште е ранлив на phishing напади,“ забележа Push Security во јули 2025 година.

Додека напаѓачите продолжуваат да ги усовршуваат своите тактики, клучно е корисниците да бидат внимателни пред да отворат сомнителни пораки или да инсталираат екстензии на прелистувачот. Организациите исто така можат да усвојат политики за условен пристап за да спречат преземање на акаунти, со ограничување на најавувања што не ги исполнуваат одредените критериуми.

Извори:

• The Hacker News – Sneaky 2FA Phishing Kit Adds BitB Pop-ups Designed to Mimic the Browser Address Bar The Hacker News