Bộ công cụ lừa đảo 2FA lén lút thêm cửa sổ bật lên BitB để mô phỏng trình duyệt

[Starlink]

Những tác giả phần mềm độc hại liên quan đến bộ công cụ Lừa đảo dưới dạng dịch vụ (PhaaS) được gọi là Sneaky 2FA đã tích hợp chức năng Trình duyệt trong Trình duyệt (BitB) vào kho vũ khí của họ, nhấn mạnh sự phát triển liên tục của các dịch vụ như vậy và giúp những kẻ tấn công ít kỹ năng hơn dễ dàng thực hiện các cuộc tấn công ở quy mô lớn.

Trong một báo cáo chia sẻ với The Hacker News, Push Security cho biết họ đã quan sát thấy kỹ thuật này được sử dụng trong các cuộc tấn công lừa đảo nhằm đánh cắp thông tin đăng nhập tài khoản Microsoft của nạn nhân.

BitB lần đầu tiên được nhà nghiên cứu bảo mật mr.d0x ghi nhận vào tháng 3 năm 2022, nêu chi tiết cách thức tận dụng sự kết hợp giữa mã HTML và mã CSS để tạo ra các cửa sổ trình duyệt giả mạo có thể ngụy trang thành các trang đăng nhập cho các dịch vụ hợp pháp nhằm mục đích đánh cắp thông tin đăng nhập.

"BitB chủ yếu được thiết kế để che giấu các URL lừa đảo đáng ngờ bằng cách mô phỏng một chức năng khá bình thường của xác thực trong trình duyệt – một biểu mẫu đăng nhập bật lên", Push Security cho biết. "Các trang lừa đảo BitB mô phỏng thiết kế của một cửa sổ bật lên với iframe trỏ đến một máy chủ độc hại."

Để hoàn tất trò lừa đảo, cửa sổ trình duyệt bật lên sẽ hiển thị URL đăng nhập Microsoft hợp lệ, khiến nạn nhân tưởng rằng họ đang nhập thông tin đăng nhập vào một trang hợp lệ, trong khi thực tế đó là một trang lừa đảo.

Trong một chuỗi tấn công mà công ty quan sát được, người dùng truy cập vào một URL đáng ngờ ("previewdoc[.]us") sẽ được kiểm tra bằng cổng xoay Cloudflare. Chỉ sau khi người dùng vượt qua được kiểm tra bảo vệ bot, cuộc tấn công mới chuyển sang giai đoạn tiếp theo, bao gồm việc hiển thị một trang có nút "Đăng nhập bằng Microsoft" để xem tài liệu PDF.

Khi nhấp vào nút, một trang lừa đảo giả dạng biểu mẫu đăng nhập của Microsoft sẽ được tải trong trình duyệt nhúng bằng kỹ thuật BitB, cuối cùng đánh cắp thông tin đã nhập và chi tiết phiên đăng nhập cho kẻ tấn công, kẻ này sau đó có thể sử dụng chúng để chiếm đoạt tài khoản của nạn nhân.

Bên cạnh việc sử dụng các công nghệ bảo vệ bot như CAPTCHA và Cloudflare Turnstile để ngăn các công cụ bảo mật truy cập vào các trang lừa đảo, kẻ tấn công còn tận dụng các kỹ thuật tải có điều kiện để đảm bảo rằng chỉ những mục tiêu dự định mới có thể truy cập vào chúng, đồng thời lọc bỏ phần còn lại hoặc chuyển hướng chúng đến các trang web vô hại.

Sneaky 2FA, lần đầu tiên được Sekoia nêu bật vào đầu năm nay, được biết là sử dụng nhiều phương pháp khác nhau để chống lại việc phân tích, bao gồm sử dụng mã hóa ẩn và vô hiệu hóa các công cụ dành cho nhà phát triển trình duyệt để ngăn chặn các nỗ lực kiểm tra các trang web. Ngoài ra, các tên miền lừa đảo được luân chuyển nhanh chóng để giảm thiểu khả năng bị phát hiện.

Push Security cho biết: "Những kẻ tấn công liên tục đổi mới các kỹ thuật lừa đảo, đặc biệt là trong bối cảnh hệ sinh thái PhaaS ngày càng chuyên nghiệp hóa. Với việc các cuộc tấn công dựa trên danh tính tiếp tục là nguyên nhân hàng đầu gây ra các vụ vi phạm, chúng được khuyến khích cải tiến và nâng cao cơ sở hạ tầng lừa đảo của mình."

Bỏ qua đăng nhập Passkey thông qua thao tác quy trình WebAuthn.

Việc tiết lộ này diễn ra trong bối cảnh nghiên cứu phát hiện ra rằng có thể sử dụng tiện ích mở rộng trình duyệt độc hại để làm giả thông tin đăng ký và đăng nhập bằng mật khẩu, qua đó cho phép kẻ tấn công truy cập vào các ứng dụng doanh nghiệp mà không cần thiết bị hoặc thông tin sinh trắc học của người dùng.

Cuộc tấn công Passkey Pwned, theo cách gọi của nó, lợi dụng thực tế là không có kênh truyền thông an toàn nào giữa thiết bị và dịch vụ và trình duyệt, đóng vai trò trung gian, có thể bị thao túng bằng một tập lệnh hoặc tiện ích mở rộng độc hại, từ đó chiếm đoạt quá trình xác thực.

Khi đăng ký hoặc xác thực trên các trang web bằng mật khẩu, trang web sẽ giao tiếp qua trình duyệt web bằng cách gọi các API WebAuthn như navigator.credentials.create() và navigator.credentials.get(). Cuộc tấn công sẽ thao túng các luồng này thông qua việc chèn JavaScript.

SquareX cho biết: "Phần mở rộng độc hại sẽ chặn cuộc gọi trước khi nó đến được trình xác thực và tạo ra cặp khóa riêng do kẻ tấn công kiểm soát, bao gồm khóa riêng tư và khóa công khai. Phần mở rộng độc hại này lưu trữ khóa riêng tư do kẻ tấn công kiểm soát cục bộ để có thể sử dụng lại để ký các yêu cầu xác thực trong tương lai trên thiết bị của nạn nhân mà không cần tạo khóa mới."

Một bản sao của khóa riêng cũng được gửi đến kẻ tấn công để cho phép chúng truy cập các ứng dụng doanh nghiệp trên thiết bị của chúng. Tương tự, trong giai đoạn đăng nhập, lệnh gọi đến "navigator.credentials.get()" bị phần mở rộng chặn lại để ký thử thách bằng khóa riêng của kẻ tấn công được tạo trong quá trình đăng ký.

Chưa hết. Kẻ tấn công còn tìm ra cách để vượt qua các phương pháp xác thực chống lừa đảo như mật khẩu bằng cách sử dụng cái gọi là tấn công hạ cấp, trong đó các công cụ lừa đảo ở giữa ( AitM ) như Tycoon có thể yêu cầu nạn nhân lựa chọn giữa một tùy chọn kém an toàn hơn có thể lừa đảo được thay vì cho phép họ sử dụng mật khẩu.

Push Security đã lưu ý vào tháng 7 năm 2025 rằng: "Vì vậy, bạn sẽ gặp phải tình huống ngay cả khi có phương thức đăng nhập chống lừa đảo, thì việc có phương thức sao lưu kém an toàn hơn có nghĩa là tài khoản vẫn dễ bị tấn công lừa đảo".

Khi kẻ tấn công tiếp tục tinh chỉnh chiến thuật, điều quan trọng là người dùng phải cảnh giác trước khi mở tin nhắn đáng ngờ hoặc cài đặt tiện ích mở rộng trên trình duyệt. Các tổ chức cũng có thể áp dụng chính sách truy cập có điều kiện để ngăn chặn các cuộc tấn công chiếm đoạt tài khoản bằng cách hạn chế các lần đăng nhập không đáp ứng các tiêu chí nhất định.