Aggiornamenti recenti Novembre 20th, 2025 2:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Sneaky2FA si evolve con una funzionalità Browser-in-the-Browser
- DragonForce evolve in un “cartello” ransomware e diventa più aggressivo
- Rust riduce sensibilmente le vulnerabilità di memory safety in Android
- Impressionate! Un attacco DDoS da quasi 16 Tbps contro Azure
- Il protocollo di rete “Finger” rinasce in attacchi ClickFix
Sneaky2FA si evolve con una funzionalità Browser-in-the-Browser
I ricercatori di Push Security hanno scoperto che gli autori di Sneaky2FA, un kit di Phishing-as-a-Service, hanno aggiunto al proprio toolkit una funzionalità di Browser-in-the-Browser (BITB).
“Di recente abbiamo scoperto un server Sneaky2FA che è un po’ diverso dal classico reverse-proxy Attacker-in-the-Middle, con una finestra di un browser integrata che contiene l’effettiva pagina di phishing” spiegano i ricercatori.
Sneaky2FA opera principalmente attraverso Telegram, dove i cybercriminali acquistano licenze per ottenere versioni offuscate del codice sorgente che poi distribuiscono autonomamente su server compromessi o domini usa e getta. Attivo da diversi anni, il gruppo ha incluso la nuova funzionalità solo all’inizio del 2025.
La tecnica BITB è stata coniata per la prima volta nel 2022 ed è nata per mascherare URL di phishing simulando una funzionalità di autenticazione in-browser; l’obiettivo è ingannare la vittima mostrandole una barra degli indirizzi falsa che però visualizza l’URL legittimo. Le pagine BITB replicano infatti le finestre di pop-up con i form di login inserendole in un i-frame che punta a un server malevolo; l’URL della finestra, però, appare come un link legittimo di login.
Come funziona BITB in Sneaky2FA
Secondo quando riportato da Push Security, il flusso d’attacco inizia inviando un link alla vittima che punta a un dominio apparentemente legittimo. Quando l’utente atterra sulla pagina, gli viene richiesto di superare un controllo Cloudflare Turnstile o CAPTCHA; questo passaggio serve a bloccare i crawler dei tool di sicurezza che analizzano la pagina.
Superato il controllo, la pagina reindirizza a un sottodominio che simula un visualizzatore di documenti. All’utente viene richiesto a questo punto di effettuare l’accesso con l’account Microsoft per visualizzare il documento. Cliccando sul pulsante di login, non si apre una vera nuova finestra, ma viene generato un pop-up interno alla pagina.
In questa fase il toolkit si adatta all’OS su cui è in esecuzione: se la vittima usa Windows, il pop-up simula una finestra di Edge/Chrome su Windows; se usa un Mac, simula l’interfaccia di Safari su macOS. Al contempo, la finta barra degli indirizzi mostra l’URL legittimo di Microsoft. A questo punto, quando l’utente inserisce le credenziali e procede con l’MFA, Sneaky2FA intercetta i dati e il token di sessione e li invia al server malevolo per procedere con il furto dell’account.
Pixabay
Il toolkit è particolarmente ostico da contrastare perché usa una serie di tecniche per evitare il rilevamento degli strumenti di sicurezza, come il caricamento condizionale che blocca l’esecuzione del toolkit nel caso l’indirizzo IP che sta visitando la pagina appartenga a vendor di sicurezza, VPN note o proxy, l’offuscamento del codice, script anti-analisi e domini effimeri (burn and replace).
È probabile che, vista la sua efficacia, l’uso della tecnica BITB non si fermi a Sneaky2FA, ma venga usata anche in altri kit di phishing. La tecnica, infatti, supera i controlli di sicurezza tradizionali come i gateway email, i filtri e le difese signature-based. È necessario quindi affidarsi a tool di analisi avanzati in grado di individuare i diversi tipi di toolkit in esecuzione.
Condividi l'articolo
- account takeover, browser-in-the-browser, Phishing, phishing-as-a-service, Sneaky2FA, toolkit phishing
Articoli correlati
Altro in questa categoria
Approfondimenti
-
DragonForce evolve in un “cartello” ransomware... Di recente la Threat Research Unit di Acronis ha analizzato... -
Rust riduce sensibilmente le vulnerabilità di memory... Dopo un anno dall’annuncio dell’aumento... -
Crescono le truffe ai danni dei consumatori, preoccupano... I consumatori continuano a essere colpiti molto duramente... -
In aumento gli attacchi russi e lo spionaggio contro... Nell’ultimo APT Activity Report relativo al periodo... -
Scoperte nuove vulnerabilità di ChatGPT che portano a leak... I ricercatori di Tenable Research hanno scoperto nuove...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Sneaky2FA si evolve con una funzionalità... I ricercatori di Push Security hanno scoperto che gli... -
DragonForce evolve in un “cartello” ransomware... Di recente la Threat Research Unit di Acronis ha...
-
Rust riduce sensibilmente le vulnerabilità di memory... Dopo un anno dall’annuncio dell’aumento...
-
Impressionate! Un attacco DDoS da quasi 16 Tbps contro Microsoft ha annunciato di aver subito un attacco massiccio... -
Il protocollo di rete “Finger” rinasce in... Il comando “Finger“, legato all’omonimo...
Ransomware: la serie
No posts found.