Sneaky2FA si evolve con una funzionalità Browser-in-the-Browser

I ricercatori di Push Security hanno scoperto che gli autori di Sneaky2FA, un kit di Phishing-as-a-Service, hanno aggiunto al proprio toolkit una funzionalità di Browser-in-the-Browser (BITB).

“Di recente abbiamo scoperto un server Sneaky2FA che è un po’ diverso dal classico reverse-proxy Attacker-in-the-Middle, con una finestra di un browser integrata che contiene l’effettiva pagina di phishing” spiegano i ricercatori.

Sneaky2FA opera principalmente attraverso Telegram, dove i cybercriminali acquistano licenze per ottenere versioni offuscate del codice sorgente che poi distribuiscono autonomamente su server compromessi o domini usa e getta. Attivo da diversi anni, il gruppo ha incluso la nuova funzionalità solo all’inizio del 2025.

La tecnica BITB è stata coniata per la prima volta nel 2022 ed è nata per mascherare URL di phishing simulando una funzionalità di autenticazione in-browser; l’obiettivo è ingannare la vittima mostrandole una barra degli indirizzi falsa che però visualizza l’URL legittimo. Le pagine BITB replicano infatti le finestre di pop-up con i form di login inserendole in un i-frame che punta a un server malevolo; l’URL della finestra, però, appare come un link legittimo di login.

Come funziona BITB in Sneaky2FA

Secondo quando riportato da Push Security, il flusso d’attacco inizia inviando un link alla vittima che punta a un dominio apparentemente legittimo. Quando l’utente atterra sulla pagina, gli viene richiesto di superare un controllo Cloudflare Turnstile o CAPTCHA; questo passaggio serve a bloccare i crawler dei tool di sicurezza che analizzano la pagina.

Superato il controllo, la pagina reindirizza a un sottodominio che simula un visualizzatore di documenti. All’utente viene richiesto a questo punto di effettuare l’accesso con l’account Microsoft per visualizzare il documento. Cliccando sul pulsante di login, non si apre una vera nuova finestra, ma viene generato un pop-up interno alla pagina.

In questa fase il toolkit si adatta all’OS su cui è in esecuzione: se la vittima usa Windows, il pop-up simula una finestra di Edge/Chrome su Windows; se usa un Mac, simula l’interfaccia di Safari su macOS. Al contempo, la finta barra degli indirizzi mostra l’URL legittimo di Microsoft. A questo punto, quando l’utente inserisce le credenziali e procede con l’MFA, Sneaky2FA intercetta i dati e il token di sessione e li invia al server malevolo per procedere con il furto dell’account.

Pixabay

Il toolkit è particolarmente ostico da contrastare perché usa una serie di tecniche per evitare il rilevamento degli strumenti di sicurezza, come ilcaricamento condizionaleche blocca l’esecuzione del toolkit nel caso l’indirizzo IP che sta visitando la pagina appartenga a vendor di sicurezza, VPN note o proxy, l’offuscamento del codice,script anti-analisie domini effimeri (burn and replace).

È probabile che, vista la sua efficacia, l’uso della tecnica BITB non si fermi a Sneaky2FA, ma venga usata anche in altri kit di phishing. La tecnica, infatti, supera i controlli di sicurezza tradizionali come i gateway email, i filtri e le difese signature-based. È necessario quindi affidarsi a tool di analisi avanzati in grado di individuare i diversi tipi di toolkit in esecuzione.