Các tác giả phần mềm độc hại liên quan đến bộ công cụ Phishing-as-a-Service (PhaaS) có tên Sneaky 2FA đã tích hợp chức năng Browser-in-the-Browser (BitB) vào kho vũ khí của mình, nhấn mạnh sự phát triển liên tục của các dịch vụ này và giúp các tác nhân đe dọa ít kỹ năng hơn dễ dàng thực hiện các cuộc tấn công quy mô lớn.
Push Security, trong một báo cáo chia sẻ với The Hacker News, cho biết họ đã quan sát thấy việc sử dụng kỹ thuật này trong các cuộc tấn công phishing được thiết kế để đánh cắp thông tin đăng nhập tài khoản Microsoft của nạn nhân.
BitB lần đầu tiên được tài liệu hóa bởi nhà nghiên cứu bảo mật mr.d0x vào tháng 3 năm 2022, mô tả chi tiết cách có thể tận dụng sự kết hợp mã HTML và CSS để tạo các cửa sổ trình duyệt giả mạo có thể đóng giả làm trang đăng nhập cho các dịch vụ hợp pháp nhằm đánh cắp thông tin đăng nhập.
BitB chủ yếu được thiết kế để che giấu các URL phishing đáng ngờ bằng cách mô phỏng chức năng xác thực trong trình duyệt khá bình thường – một biểu mẫu đăng nhập pop-up," Push Security cho biết. "Các trang phishing BitB sao chép thiết kế của một cửa sổ pop-up với một iframe trỏ đến một máy chủ độc hại.
Để hoàn tất việc lừa đảo, cửa sổ trình duyệt pop-up hiển thị một URL đăng nhập Microsoft hợp pháp, khiến nạn nhân tin rằng họ đang nhập thông tin đăng nhập trên một trang hợp lệ, nhưng thực tế, đó là một trang phishing.
Trong một chuỗi tấn công được công ty quan sát, người dùng truy cập một URL đáng ngờ ("previewdoc[.]us") sẽ được yêu cầu vượt qua kiểm tra Cloudflare Turnstile. Chỉ sau khi người dùng vượt qua kiểm tra bảo vệ bot, cuộc tấn công mới chuyển sang giai đoạn tiếp theo, bao gồm hiển thị một trang với nút "Đăng nhập bằng Microsoft" để xem tài liệu PDF.
Khi nút được nhấp, một trang phishing giả mạo biểu mẫu đăng nhập Microsoft sẽ được tải trong một trình duyệt nhúng sử dụng kỹ thuật BitB, cuối cùng trích xuất thông tin đã nhập và chi tiết phiên đăng nhập cho kẻ tấn công, kẻ có thể sử dụng chúng để chiếm đoạt tài khoản của nạn nhân.
Bên cạnh việc sử dụng các công nghệ bảo vệ bot như CAPTCHA và Cloudflare Turnstile để ngăn các công cụ bảo mật truy cập các trang phishing, kẻ tấn công còn tận dụng các kỹ thuật tải có điều kiện để đảm bảo rằng chỉ các mục tiêu được nhắm đến mới có thể truy cập, đồng thời lọc bỏ phần còn lại hoặc chuyển hướng họ đến các trang web lành tính.
Sneaky 2FA, lần đầu tiên được Sekoia nêu bật vào đầu năm nay, được biết đến với việc áp dụng nhiều phương pháp để chống lại việc phân tích, bao gồm sử dụng obfuscation và vô hiệu hóa công cụ nhà phát triển trình duyệt để ngăn chặn các nỗ lực kiểm tra trang web. Ngoài ra, các miền phishing được xoay vòng nhanh chóng để giảm thiểu khả năng bị phát hiện.
Các kẻ tấn công không ngừng đổi mới các kỹ thuật phishing của mình, đặc biệt trong bối cảnh hệ sinh thái PhaaS ngày càng chuyên nghiệp hóa," Push Security cho biết. "Với các cuộc tấn công dựa trên danh tính tiếp tục là nguyên nhân hàng đầu gây ra các vụ vi phạm dữ liệu, các kẻ tấn công được khuyến khích tinh chỉnh và nâng cao cơ sở hạ tầng phishing của mình.
Thông tin này được đưa ra trong bối cảnh một nghiên cứu đã phát hiện rằng có thể sử dụng một tiện ích mở rộng trình duyệt độc hại để giả mạo việc đăng ký và đăng nhập passkey, từ đó cho phép các tác nhân đe dọa truy cập các ứng dụng doanh nghiệp mà không cần thiết bị hoặc sinh trắc học của người dùng.
Cuộc tấn công Passkey Pwned, như tên gọi của nó, lợi dụng thực tế là không có kênh liên lạc an toàn giữa thiết bị và dịch vụ, và trình duyệt, đóng vai trò trung gian, có thể bị thao túng bằng một script hoặc extension độc hại, qua đó chiếm quyền kiểm soát quá trình xác thực một cách hiệu quả.
Khi đăng ký hoặc xác thực trên các trang web bằng passkeys, trang web giao tiếp qua trình duyệt web bằng cách gọi các API WebAuthn như navigator.credentials.create() và navigator.credentials.get(). Cuộc tấn công thao túng các luồng này thông qua JavaScript injection.
Tiện ích mở rộng độc hại chặn cuộc gọi trước khi nó đến trình xác thực và tạo ra cặp khóa riêng của kẻ tấn công, bao gồm một private key và một public key," SquareX cho biết. "Tiện ích mở rộng độc hại lưu trữ private key do kẻ tấn công kiểm soát cục bộ để nó có thể sử dụng lại để ký các thử thách xác thực trong tương lai trên thiết bị của nạn nhân mà không cần tạo khóa mới.
Một bản sao của private key cũng được truyền cho kẻ tấn công để cho phép chúng truy cập các ứng dụng doanh nghiệp trên thiết bị của chúng. Tương tự, trong giai đoạn đăng nhập, cuộc gọi đến navigator.credentials.get() bị tiện ích mở rộng chặn lại để ký thử thách bằng private key của kẻ tấn công được tạo trong quá trình đăng ký.
Chưa hết. Các tác nhân đe dọa cũng đã tìm ra cách lách các phương pháp xác thực chống phishing như passkeys thông qua cái gọi là downgrade attack, nơi các bộ công cụ phishing adversary-in-the-middle (AitM) như Tycoon có thể yêu cầu nạn nhân chọn giữa một tùy chọn kém an toàn hơn có thể bị phishing thay vì cho phép họ sử dụng passkey.
Vì vậy, bạn có một tình huống mà ngay cả khi một phương pháp đăng nhập chống phishing tồn tại, sự hiện diện của một phương pháp dự phòng kém an toàn hơn có nghĩa là tài khoản vẫn dễ bị tổn thương trước các cuộc tấn công phishing," Push Security lưu ý vào tháng 7 năm 2025.
Khi các kẻ tấn công tiếp tục mài giũa chiến thuật của mình, điều cần thiết là người dùng phải cảnh giác trước khi mở các tin nhắn đáng ngờ hoặc cài đặt extensions trên trình duyệt. Các tổ chức cũng có thể áp dụng các chính sách truy cập có điều kiện để ngăn chặn các cuộc tấn công chiếm đoạt tài khoản bằng cách hạn chế các lần đăng nhập không đáp ứng các tiêu chí nhất định.
