El nuevo ataque de navegador en el navegador (BITB) hace que el phishing sea casi indetectable

Navegador en el navegador Noticias

Se puede explotar una nueva técnica de phishing llamada ataque de navegador en el navegador (BitB) para simular una ventana de navegador dentro del navegador para falsificar un dominio legítimo, lo que hace posible realizar ataques de phishing convincentes.

Según el probador de penetración e investigador de seguridad, que va por el mango mrd0x en Twitter, el método aprovecha el inicio de sesión único de terceros (inicio de sesión único) opciones incrustadas en sitios web como «Iniciar sesión con Google» (o Facebook, Apple o Microsoft).

Si bien el comportamiento predeterminado cuando un usuario intenta iniciar sesión a través de estos métodos es recibir una ventana emergente para completar el proceso de autenticación, el ataque BitB tiene como objetivo replicar todo este proceso utilizando una combinación de código HTML y CSS para crear un ventana del navegador completamente fabricada.

Navegador en el navegador

«Combine el diseño de la ventana con un iframe que apunte al servidor malicioso que aloja la página de phishing, y es básicamente indistinguible», mrd0x dijo en un artículo técnico publicado la semana pasada. «JavaScript se puede usar fácilmente para hacer que la ventana aparezca en un enlace o en un clic de botón, en la carga de la página, etc.»

Curiosamente, la técnica ha sido abusada en la naturaleza al menos una vez antes. En febrero de 2020, Zscaler revelado detalles de una campaña que aprovechó el truco de BitB para desviar credenciales para el servicio de distribución digital de videojuegos Steam a través de sitios web falsos de Counter-Strike: Global Offensive (CS: GO).

«Normalmente, las medidas que toma un usuario para detectar un sitio de phishing incluyen verificar si la URL es legítima, si el sitio web usa HTTPS y si hay algún tipo de homógrafo en el dominio, entre otros», dijo Prakhar, investigador de Zscaler. Shrotriya dijo en ese momento.

«En este caso, todo se ve bien ya que el dominio es steamcommunity[.]com, que es legítimo y utiliza HTTPS. Pero cuando tratamos de arrastrar este aviso desde la ventana que se usa actualmente, desaparece más allá del borde de la ventana, ya que no es una ventana emergente legítima del navegador y se crea usando HTML en la ventana actual».

Si bien este método facilita significativamente el montaje efectivo campañas de ingeniería socialvale la pena señalar que las víctimas potenciales deben ser redirigidas a un dominio de phishing que pueda mostrar una ventana de autenticación falsa para la recolección de credenciales.

«Pero una vez que llega al sitio web propiedad del atacante, el usuario estará tranquilo mientras escribe sus credenciales en lo que parece ser el sitio web legítimo (porque la URL confiable lo dice)», agregó mrd0x.

David
Rate author
Hackarizona