Kit phishing-as-a-service (PhaaS) Sneaky2FA telah menambahkan kemampuan browser-in-the-browser (BitB) yang digunakan dalam serangan untuk mencuri kredensial Microsoft dan sesi aktif.
Sneaky2FA adalah platform PhaaS yang banyak digunakan saat ini, bersama dengan Tycoon2FA dan Mamba2FA, semuanya menargetkan akun Microsoft 365.
Kit ini terkenal dengan itu Serangan berbasis SVG dan taktik penyerang di tengah (AitM), di mana proses autentikasi diproksikan ke layanan yang sah melalui halaman phishing yang menyampaikan token sesi yang valid kepada penyerang.
Menurut laporan dari Push Security, Sneaky2FA kini telah menambahkan pop-up BitB yang meniru jendela login Microsoft yang sah. Untuk menambah penipuan, halaman masuk palsu menyesuaikan secara dinamis dengan OS dan browser korban.
Penyerang yang mencuri kredensial dan token sesi aktif dapat mengautentikasi ke akun korban, bahkan ketika perlindungan otentikasi dua faktor (2FA) aktif.
BitB adalah teknik phishing dirancang oleh peneliti mr.d0x pada tahun 2022 dan sejak itu telah diadopsi oleh pelaku ancaman untuk menargetkan serangan nyata Facebook Dan akun uapdi antara layanan lainnya.
Selama serangan, pengguna yang membuka halaman web yang dikendalikan penyerang akan melihat jendela pop-up browser palsu dengan formulir login.
Templat untuk pop-up adalah iframe yang meniru bentuk autentikasi layanan yang sah dan dapat dikustomisasi dengan URL dan judul jendela tertentu.
Karena jendela palsu menampilkan bilah URL dengan alamat domain resmi layanan yang ditargetkan, ini tampak seperti pop-up OAuth yang dapat dipercaya.
Dalam kasus Sneaky2FA, korban membuka tautan phishing di ‘pratinjaudoc[.]com‘ dan menjalani pemeriksaan bot Cloudflare Turnstile sebelum mereka diminta masuk dengan Microsoft untuk melihat dokumen.
Sumber: Dorong Keamanan
Jika opsi “Masuk dengan Microsoft” diklik, jendela BitB palsu ditampilkan, menampilkan bilah URL Microsoft palsu, diubah ukurannya dan ditata dengan sesuai untuk Edge di Windows atau Safari di macOS.
Di dalam pop-up palsu, Sneaky2FA memuat halaman phishing Microsoft reverse-proxy, sehingga memanfaatkan aliran login sebenarnya untuk mencuri kredensial akun dan token sesi melalui sistem AitM-nya.
Sumber: Dorong Keamanan
Pada dasarnya, BitB digunakan sebagai lapisan penipuan kosmetik di atas kemampuan AitM Sneaky2FA yang sudah ada, sehingga menambahkan lebih banyak realisme pada rantai serangan.
Kit phishing juga menggunakan pemuatan bersyarat, yang mengirim bot dan peneliti ke halaman yang tidak berbahaya.
Push Security melaporkan bahwa situs phishing ini dibuat dengan mempertimbangkan penghindaran, dan kecil kemungkinannya akan memicu peringatan saat dikunjungi.
“HTML dan JavaScript halaman Sneaky2FA sangat dikaburkan untuk menghindari deteksi statis dan pencocokan pola, seperti memecah teks UI dengan tag yang tidak terlihat, menyematkan elemen latar belakang dan antarmuka sebagai gambar yang dikodekan, bukan teks, dan perubahan lain yang tidak terlihat oleh pengguna, namun mempersulit alat pemindaian untuk mengambil sidik jari halaman tersebut,” jelas para peneliti.
Salah satu cara untuk menentukan apakah formulir login pop-up asli adalah dengan mencoba menyeretnya keluar jendela browser asli. Hal ini tidak mungkin dilakukan dengan iframe karena tertaut ke jendela induknya.
Selain itu, pop-up yang sah muncul di taskbar sebagai browser terpisah.
Dukungan untuk BitB telah terlihat dengan layanan PhaaS lain yang disebut Raccoon0365/Storm-2246, yang dulunya baru-baru ini terganggu oleh Microsoft dan Cloudflare setelah mencuri ribuan kredensial Microsoft 365.
Lembar Cheat Keamanan Rahasia: Dari Sprawl hingga Control
Baik Anda membersihkan kunci lama atau menyetel pagar pembatas untuk kode yang dihasilkan AI, panduan ini membantu tim Anda membangun dengan aman sejak awal.
Dapatkan lembar contekan dan hilangkan dugaan tentang manajemen rahasia.
