Los autores del malware asociados a un kit de suplantación de identidad como servicio (PhaaS) conocido como Sneaky 2FA han incorporado la funcionalidad Browser-in-the-Browser (BitB) a su arsenal, lo que subraya la continua evolución de estas ofertas y facilita aún más a los actores de amenazas menos cualificados la organización de ataques a gran escala.
Push Security, en un informe compartida con The Hacker News, dijo que había observado el uso de la técnica en ataques de suplantación de identidad diseñados para robar las credenciales de las cuentas Microsoft de las víctimas.
BitB fue primera documentación del investigador de seguridad mr.d0x en marzo de 2022, en el que detallaba cómo es posible aprovechar una combinación de código HTML y CSS para crear ventanas de navegador falsas que pueden hacerse pasar por páginas de inicio de sesión para servicios legítimos con el fin de facilitar el robo de credenciales .
«BitB está diseñado principalmente para enmascarar las URL sospechosas de suplantación de identidad simulando una función bastante normal de autenticación en el navegador: un formulario de inicio de sesión emergente», afirma Push Security. «Las páginas de suplantación de identidad de BitB reproducen el diseño de una ventana emergente con un iframe que apunta a un servidor malintencionado».
Para completar el engaño, la ventana emergente del navegador muestra una URL de inicio de sesión legítima de Microsoft, lo que da a la víctima la impresión de que está introduciendo las credenciales en una página legítima, cuando, en realidad, se trata de una página de suplantación de identidad.
En una cadena de ataques observada por la empresa, los usuarios que llegan a una URL sospechosa («previewdoc [.] us») reciben una verificación de Cloudflare Turnstile. El ataque solo pasa a la siguiente fase cuando el usuario pasa a la fase siguiente, que consiste en mostrar una página con el botón «Iniciar sesión con Microsoft» para ver un documento PDF.
Una vez que se pulsa el botón, se carga una página de suplantación de identidad que se hace pasar por un formulario de inicio de sesión de Microsoft en un navegador integrado mediante la técnica BitB y, en última instancia, filtra la información introducida y los detalles de la sesión para que el atacante pueda utilizarlos para apoderarse de la cuenta de la víctima.
Además de utilizar tecnologías de protección contra bots como CAPTCHA y Cloudflare Turnstile para evitar que las herramientas de seguridad accedan a las páginas de suplantación de identidad, los atacantes aprovechan técnicas de carga condicional para garantizar que solo los objetivos previstos puedan acceder a ellos y, al mismo tiempo, filtrar el resto o redirigirlos a sitios benignos.
Se sabe que Sneaky 2FA, que Sekoia destacó por primera vez a principios de este año, adopta varios métodos para resistirse al análisis, incluido el uso de la ofuscación y la desactivación de las herramientas de desarrollo de navegadores para evitar intentos de inspeccionar las páginas web. Además, los dominios de suplantación de identidad son girado rápidamente para minimizar la detección.
«Los atacantes innovan continuamente sus técnicas de suplantación de identidad, especialmente en el contexto de un ecosistema de PhaaS cada vez más profesionalizado», afirma Push Security. «Dado que los ataques basados en la identidad siguen siendo la principal causa de infracciones, se incentiva a los atacantes a perfeccionar y mejorar su infraestructura de suplantación de identidad».
La divulgación se produce en el contexto de una investigación que encontrado que es posible emplear una extensión de navegador malintencionada para falsificar el registro y los inicios de sesión con claves de paso, lo que permite a los actores de amenazas acceder a las aplicaciones empresariales sin el dispositivo del usuario ni los datos biométricos.
El Passkey Pwned Attack, como se le llama, aprovecha el hecho de que no existe un canal de comunicación seguro entre un dispositivo y el servicio y de que el navegador, que actúa como intermediario, puede manipularse mediante un script o extensión deshonestos, secuestrando de manera efectiva el proceso de autenticación.
Al registrarse o autenticarse en sitios web con claves de acceso, el sitio web se comunica a través del navegador web invocando las API de WebAuthn, como navigator.credentials.create () y navigator.credentials.get (). El ataque manipula estos flujos mediante la inyección de JavaScript.
«La extensión maliciosa intercepta la llamada antes de que llegue al autenticador y genera su propio par de claves controladas por el atacante, que incluye una clave privada y una clave pública», dijo SquareX. «La extensión maliciosa almacena localmente la clave privada controlada por el atacante para poder reutilizarla para firmar futuras solicitudes de autenticación en el dispositivo de la víctima sin generar una nueva clave».
También se transmite una copia de la clave privada al atacante para que pueda acceder a las aplicaciones empresariales en su propio dispositivo. Del mismo modo, durante la fase de inicio de sesión, la extensión intercepta la llamada a «navigator.credentials.get ()» para firmar la impugnación con la clave privada que el atacante creó durante el registro.
Eso no es todo. Los actores de amenazas también han encontrado una manera de eludir los métodos de autenticación resistentes a la suplantación de identidad, como las claves de acceso, mediante lo que se conoce como un ataque de degradación, en el que los kits de suplantación de identidad tipo Adversarios en el Medio (AiTM), como Magnate puede pedirle a la víctima que elija entre una opción menos segura que sea susceptible de suplantación de identidad en lugar de permitirle usar una clave de acceso.
«Por lo tanto, se encuentra en una situación en la que, incluso si existe un método de inicio de sesión resistente a la suplantación de identidad, la presencia de un método de respaldo menos seguro significa que la cuenta sigue siendo vulnerable a los ataques de suplantación de identidad», Push Security apuntado en julio de 2025.
A medida que los atacantes siguen perfeccionando sus tácticas, es fundamental que los usuarios estén atentos antes de abrir mensajes sospechosos o instalar extensiones en el navegador. Las organizaciones también pueden adoptar políticas de acceso condicional para evitar los ataques de apropiación de cuentas restringiendo los inicios de sesión que no cumplan ciertos criterios.