De malware-auteurs die verband houden met een Phishing-as-a-Service (PhaaS)-kit, bekend als Sneaky 2FA, hebben Browser-in-the-Browser (BitB)-functionaliteit in hun arsenaal opgenomen, wat de voortdurende evolutie van dergelijke aanbiedingen onderstreept en het voor minder ervaren bedreigingsactoren nog gemakkelijker maakt om aanvallen op schaal uit te voeren.
Push Security zei in een rapport gedeeld met The Hacker News dat het het gebruik van de techniek heeft waargenomen bij phishing-aanvallen die zijn ontworpen om de Microsoft-accountreferenties van slachtoffers te stelen.
BitB werd voor het eerst gedocumenteerd door beveiligingsonderzoeker mr.d0x in maart 2022, waarin gedetailleerd werd beschreven hoe het mogelijk is om een combinatie van HTML- en CSS-code te gebruiken om valse browservensters te creëren die zich kunnen voordoen als inlogpagina’s voor legitieme services om diefstal van inloggegevens te vergemakkelijken.
“BitB is voornamelijk ontworpen om verdachte phishing-URL’s te maskeren door een vrij normale functie van authenticatie in de browser te simuleren: een pop-up-inlogformulier”, aldus Push Security. “BitB-phishingpagina’s repliceren het ontwerp van een pop-upvenster met een iframe dat naar een kwaadaardige server verwijst.”
Om de misleiding compleet te maken, toont het pop-upbrowservenster een legitieme Microsoft-inlog-URL, waardoor het slachtoffer de indruk krijgt dat hij de inloggegevens op een legitieme pagina invoert, terwijl het in werkelijkheid een phishing-pagina is.
In één aanvalsketen die door het bedrijf is waargenomen, krijgen gebruikers die op een verdachte URL (“previewdoc(.)us”) terechtkomen een Cloudflare Turnstile-controle. Pas nadat de gebruiker de botbeschermingscontrole heeft doorstaan, gaat de aanval door naar de volgende fase, waarbij een pagina wordt weergegeven met een knop ‘Aanmelden met Microsoft’ om een PDF-document te bekijken.
Zodra op de knop wordt geklikt, wordt een phishing-pagina die zich voordoet als een Microsoft-inlogformulier geladen in een ingebouwde browser met behulp van de BitB-techniek, waardoor uiteindelijk de ingevoerde informatie en sessiegegevens naar de aanvaller worden geëxfiltreerd, die deze vervolgens kan gebruiken om het account van het slachtoffer over te nemen.
Naast het gebruik van botbeschermingstechnologieën zoals CAPTCHA en Cloudflare Turnstile om te voorkomen dat beveiligingstools toegang krijgen tot de phishing-pagina’s, maken de aanvallers gebruik van voorwaardelijke laadtechnieken om ervoor te zorgen dat alleen de beoogde doelen er toegang toe hebben, terwijl ze de rest eruit filteren of ze omleiden naar goedaardige sites.
Het is bekend dat Sneaky 2FA, eerder dit jaar voor het eerst benadrukt door Sekoia, verschillende methoden gebruikt om analyse te weerstaan, waaronder het gebruik van verduistering en het uitschakelen van browserontwikkelaarstools om pogingen om de webpagina’s te inspecteren te voorkomen. Bovendien worden de phishing-domeinen snel gerouleerd om detectie te minimaliseren.
“Aanvallers innoveren voortdurend hun phishing-technieken, vooral in de context van een steeds professioneler PhaaS-ecosysteem”, aldus Push Security. “Nu op identiteit gebaseerde aanvallen de belangrijkste oorzaak van inbreuken blijven, worden aanvallers gestimuleerd om hun phishing-infrastructuur te verfijnen en te verbeteren.”
De onthulling komt tegen de achtergrond van onderzoek waaruit is gebleken dat het mogelijk is om een kwaadaardige browserextensie te gebruiken om wachtwoordregistratie en logins te vervalsen, waardoor bedreigingsactoren toegang krijgen tot bedrijfsapps zonder het apparaat van de gebruiker of biometrische gegevens.
De Passkey Pwned Attack, zoals het wordt genoemd, maakt gebruik van het feit dat er geen veilig communicatiekanaal bestaat tussen een apparaat en de dienst en dat de browser, die als tussenpersoon fungeert, kan worden gemanipuleerd door middel van een frauduleus script of extensie, waardoor het authenticatieproces effectief wordt gekaapt.
Bij registratie of authenticatie op websites met behulp van wachtwoordsleutels communiceert de website via de webbrowser door WebAuthn API’s aan te roepen, zoals navigator.credentials.create() en navigator.credentials.get(). De aanval manipuleert deze stromen via JavaScript-injectie.
“De kwaadaardige extensie onderschept de oproep voordat deze de authenticator bereikt en genereert zijn eigen door de aanvaller gecontroleerde sleutelpaar, dat een privésleutel en een openbare sleutel bevat”, aldus SquareX. “De kwaadaardige extensie slaat de door de aanvaller beheerde privésleutel lokaal op, zodat deze deze kan hergebruiken om toekomstige authenticatie-uitdagingen op het apparaat van het slachtoffer te ondertekenen zonder een nieuwe sleutel te genereren.”
Er wordt ook een kopie van de privésleutel naar de aanvaller verzonden, zodat deze toegang heeft tot bedrijfsapps op hun eigen apparaat. Op dezelfde manier wordt tijdens de inlogfase de aanroep van “navigator.credentials.get()” onderschept door de extensie om de uitdaging te ondertekenen met de privésleutel van de aanvaller die tijdens de registratie is gemaakt.
Dat is niet alles. Bedreigingsactoren hebben ook een manier gevonden om phishing-resistente authenticatiemethoden zoals wachtwoordsleutels te omzeilen door middel van een zogenaamde downgrade-aanval, waarbij tegenstander-in-the-middle (AitM) phishing-kits zoals Tycoon het slachtoffer kunnen vragen te kiezen tussen een minder veilige optie die phishable is in plaats van hen toe te staan een wachtwoordsleutel te gebruiken.
“Je hebt dus een situatie waarin zelfs als er een phishing-bestendige inlogmethode bestaat, de aanwezigheid van een minder veilige back-upmethode betekent dat het account nog steeds kwetsbaar is voor phishing-aanvallen”, merkte Push Security in juli 2025 op.
Terwijl aanvallers hun tactieken blijven aanscherpen, is het essentieel dat gebruikers waakzaam zijn voordat ze verdachte berichten openen of extensies in de browser installeren. Organisaties kunnen ook beleid voor voorwaardelijke toegang invoeren om aanvallen op accountovername te voorkomen door logins te beperken die niet aan bepaalde criteria voldoen.
