Il panorama delle minacce informatiche continua a evolversi, in particolare per quanto riguarda il phishing, con l’emergere di strumenti sempre più sofisticati come Sneaky 2FA. Questo kit Phishing-as-a-Service (PhaaS) ha recentemente integrato la tecnica Browser-in-the-Browser (BitB), aumentando la complessità degli attacchi e rendendo più semplice, anche per criminali meno esperti, colpire un vasto numero di utenti. Il BitB permette ai malintenzionati di creare finestre di browser false che imitano perfettamente le vere finestre di login, simulando l’aspetto e l’indirizzo di servizi legittimi come Microsoft, inducendo le vittime a inserire le proprie credenziali su pagine in realtà controllate dagli attaccanti.

Attacchi con BitB e tecniche di elusione

Gli attacchi osservati sfruttano domini sospetti e meccanismi come Cloudflare Turnstile per filtrare i bot e passare inosservati ai sistemi di sicurezza tradizionali. Solo dopo aver superato queste barriere, la vittima viene invitata ad accedere tramite un falso pulsante “Sign in with Microsoft”, che attiva la finestra BitB e cattura le informazioni sensibili. A rendere più insidioso il kit Sneaky 2FA, contribuiscono tecniche di caricamento condizionato delle pagine phishing, che limitano l’accesso ai soli utenti target, e frequenti rotazioni dei domini malevoli per eludere le blacklist.

Ostacoli all’analisi e resilienza degli attacchi

Oltre alla simulazione dei login, gli sviluppatori di Sneaky 2FA applicano misure per ostacolare l’analisi dei loro strumenti, come l’offuscamento del codice e la disabilitazione degli strumenti di sviluppo del browser. Queste strategie aumentano la resilienza degli attacchi e complicano il lavoro degli analisti di sicurezza.

Nuove tecniche di compromissione e Passkey Pwned Attack

Parallelamente si stanno diffondendo nuove tecniche di compromissione, come la manipolazione dei processi di autenticazione WebAuthn tramite estensioni malevoli del browser. Questo tipo di attacchi, noti come Passkey Pwned Attack, consentono di intercettare le richieste di creazione e utilizzo delle passkey, permettendo ai criminali di generare chiavi private controllate dall’attaccante e riutilizzarle per future autenticazioni, aggirando di fatto la sicurezza offerta dai sistemi di autenticazione moderni.

Downgrade attack e strategie difensive

Infine, si rileva anche l’uso di downgrade attack che inducono l’utente a scegliere metodi di autenticazione meno sicuri, rendendo vulnerabili anche account protetti da soluzioni resistenti al phishing. Per difendersi da queste minacce è fondamentale adottare pratiche di attenzione nell’uso di estensioni e nell’apertura di messaggi sospetti, oltre a implementare policy di accesso condizionato in ambito aziendale per limitare i rischi di compromissione degli account.