O serviço de phishing Sneaky2FA adicionou recentemente um novo recurso perigoso ao seu kit de ferramentas que torna o roubo de credenciais de contas da Microsoft ainda mais fácil para os invasores.
Analistas e pesquisadores da Push Security identificaram essa ameaça operando à solta, usando uma técnica sofisticada chamada Browser-in-the-Browser (BITB) para induzir os usuários a entregar suas informações de login.
Este desenvolvimento representa uma evolução preocupante nos ataques de phishing que continua a ameaçar organizações em todo o mundo.
Kits de phishing como serviço, como o Sneaky2FA, tornaram-se cada vez mais populares nos círculos criminosos porque reduzem a barreira de entrada para qualquer pessoa que queira lançar ataques avançados.
Essas plataformas operam no Telegram com versões ofuscadas e totalmente licenciadas de código-fonte que os invasores podem implantar de forma independente.
O ambiente competitivo no mercado cibercriminoso impulsionou a inovação a um ritmo alarmante, criando uma corrida armamentista onde os atacantes desenvolvem constantemente novas formas de contornar os controlos de segurança e roubar credenciais.
Analistas e pesquisadores da Push Security identificaram a variante mais recente do Sneaky2FA após detectar atividades incomuns, sugerindo que a ferramenta ganhou novos recursos técnicos.
Funcionalidade BITB
A adição da funcionalidade BITB representa uma mudança tática significativa para a plataforma, combinando múltiplas camadas de fraude para maximizar as chances de roubo de credenciais bem-sucedido.
Quando os usuários encontram esse ataque de phishing, eles primeiro veem o que parece ser um documento legítimo do Adobe Acrobat Reader, exigindo que eles façam login com sua conta da Microsoft.
Depois de clicar no botão de login, uma janela incorporada do navegador aparece, exibindo o que parece ser uma página de login autêntica da Microsoft.
O usuário é solicitado a ‘Entrar na Microsoft’ como parte da isca de phishing (Fonte – Push Security)
No entanto, esta janela pop-up é na verdade uma farsa contida na página do invasor. A janela do navegador adapta automaticamente sua aparência para corresponder ao sistema operacional e ao tipo de navegador do visitante, tornando o engano ainda mais convincente para usuários desavisados.
A sofisticação técnica por trás deste ataque envolve múltiplos mecanismos de evasão projetados para impedir que ferramentas de segurança o detectem. Antes mesmo que os usuários vejam a página de phishing, eles devem passar por uma verificação de proteção de bot Cloudflare Turnstile.
O código HTML e JavaScript é fortemente ofuscado para evitar a detecção de correspondência de padrões. Além disso, os domínios de phishing usam caminhos de URL aleatórios de 150 caracteres e operam em sites comprometidos ou de aparência antiga.
Os invasores frequentemente alternam esses domínios, usando-os brevemente antes de abandoná-los e implantar novos, criando um alvo em constante movimento para as defesas tradicionais.
Esta inovação nas técnicas de phishing demonstra como os atacantes continuam a adaptar os seus métodos para contornar os controlos de segurança modernos.
Os usuários devem permanecer vigilantes ao encontrar solicitações inesperadas para verificar sua identidade on-line, especialmente quando janelas pop-up aparecerem solicitando credenciais confidenciais.
As organizações devem implementar sistemas de detecção capazes de analisar páginas ativas em tempo real, em vez de depender apenas de defesas tradicionais que examinam a reputação do domínio ou assinaturas estáticas.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
