Los autores de malware asociados con un kit de phishing como servicio (PhaaS) conocido como Sneaky 2FA han incorporado la funcionalidad Browser-in-the-Browser (BitB) en su arsenal, lo que subraya la evolución continua de dichas ofertas y facilita aún más que los actores de amenazas menos capacitados realicen ataques a escala.
Push Security, en un informe compartido con The Hacker News, dijo que observó el uso de la técnica en ataques de phishing diseñados para robar las credenciales de las cuentas de Microsoft de las víctimas.
BitB fue documentado por primera vez por el investigador de seguridad mr.d0x en marzo de 2022, detallando cómo es posible aprovechar una combinación de código HTML y CSS para crear ventanas de navegador falsas que pueden hacerse pasar por páginas de inicio de sesión para servicios legítimos con el fin de facilitar el robo de credenciales.
«BitB está diseñado principalmente para enmascarar URL sospechosas de phishing simulando una función bastante normal de autenticación en el navegador: un formulario de inicio de sesión emergente», dijo Push Security. «Las páginas de phishing BitB replican el diseño de una ventana emergente con un iframe que apunta a un servidor malicioso».
Para completar el engaño, la ventana emergente del navegador muestra una URL de inicio de sesión legítima de Microsoft, dando a la víctima la impresión de que está ingresando las credenciales en una página legítima, cuando, en realidad, es una página de phishing.
En una cadena de ataque observada por la empresa, los usuarios que llegan a una URL sospechosa («previewdoc(.)us») reciben una verificación de Cloudflare Turnstile. Solo después de que el usuario pasa la verificación de protección contra bots, el ataque avanza a la siguiente etapa, que implica mostrar una página con el botón «Iniciar sesión con Microsoft» para poder ver un documento PDF.
Una vez que se hace clic en el botón, se carga una página de phishing disfrazada de formulario de inicio de sesión de Microsoft en un navegador integrado utilizando la técnica BitB, exfiltrando finalmente la información ingresada y los detalles de la sesión al atacante, quien luego puede usarlos para apoderarse de la cuenta de la víctima.
Además de utilizar tecnologías de protección contra bots como CAPTCHA y Cloudflare Turnstile para evitar que las herramientas de seguridad accedan a las páginas de phishing, los atacantes aprovechan técnicas de carga condicional para garantizar que solo los objetivos previstos puedan acceder a ellas, mientras filtran el resto o los redirigen a sitios benignos.
Se sabe que Sneaky 2FA, destacado por primera vez por Sekoia a principios de este año, adopta varios métodos para resistir el análisis, incluido el uso de ofuscación y la desactivación de herramientas de desarrollo del navegador para evitar intentos de inspeccionar las páginas web. Además, los dominios de phishing se rotan rápidamente para minimizar la detección.
«Los atacantes están innovando continuamente sus técnicas de phishing, particularmente en el contexto de un ecosistema PhaaS cada vez más profesionalizado», dijo Push Security. «Dado que los ataques basados en identidad siguen siendo la principal causa de infracciones, los atacantes se ven incentivados a refinar y mejorar su infraestructura de phishing».
La divulgación se produce en el contexto de una investigación que encontró que es posible emplear una extensión de navegador maliciosa para falsificar el registro y los inicios de sesión con claves de acceso, permitiendo así que los actores de amenazas accedan a aplicaciones empresariales sin el dispositivo o los datos biométricos del usuario.
El Passkey Pwned Attack, como se le llama, aprovecha el hecho de que no existe un canal de comunicación seguro entre un dispositivo y el servicio y que el navegador, que actúa como intermediario, puede ser manipulado mediante un script o extensión maliciosa, secuestrando efectivamente el proceso de autenticación.
Al registrarse o autenticarse en sitios web mediante claves de acceso, el sitio web se comunica a través del navegador web invocando las API de WebAuthn como navigator.credentials.create() y navigator.credentials.get(). El ataque manipula estos flujos mediante inyección de JavaScript.
«La extensión maliciosa intercepta la llamada antes de que llegue al autenticador y genera su propio par de claves controladas por el atacante, que incluye una clave privada y una clave pública», dijo SquareX. «La extensión maliciosa almacena localmente la clave privada controlada por el atacante para poder reutilizarla para firmar futuros desafíos de autenticación en el dispositivo de la víctima sin generar una nueva clave».
También se transmite una copia de la clave privada al atacante para permitirle acceder a las aplicaciones empresariales en su propio dispositivo. De manera similar, durante la fase de inicio de sesión, la extensión intercepta la llamada a «navigator.credentials.get()» para firmar el desafío con la clave privada del atacante creada durante el registro.
Eso no es todo. Los actores de amenazas también han encontrado una manera de eludir los métodos de autenticación resistentes al phishing, como las claves de acceso, mediante lo que se conoce como un ataque de degradación, donde los kits de phishing de adversario en el medio (AitM) como Tycoon pueden pedirle a la víctima que elija entre una opción menos segura que sea susceptible de phishing en lugar de permitirles usar una clave de acceso.
«Entonces, existe una situación en la que incluso si existe un método de inicio de sesión resistente al phishing, la presencia de un método de respaldo menos seguro significa que la cuenta sigue siendo vulnerable a ataques de phishing», señaló Push Security en julio de 2025.
A medida que los atacantes continúan perfeccionando sus tácticas, es esencial que los usuarios estén atentos antes de abrir mensajes sospechosos o instalar extensiones en el navegador. Las organizaciones también pueden adoptar políticas de acceso condicional para evitar ataques de apropiación de cuentas restringiendo los inicios de sesión que no cumplan con ciertos criterios.