Se puede explotar una nueva técnica de phishing llamada ataque de navegador en el navegador (BitB) para simular una ventana de navegador dentro del navegador para falsificar un dominio legítimo, lo que hace posible realizar ataques de phishing convincentes.
Según el probador de penetración e investigador de seguridad, que utiliza el identificador mrd0x en Twitter, el método aprovecha las opciones de inicio de sesión único ( SSO ) de terceros integradas en sitios web como “Iniciar sesión con Google” (o Facebook, Apple, o Microsoft).
Si bien el comportamiento predeterminado cuando un usuario intenta iniciar sesión a través de estos métodos es recibir una ventana emergente para completar el proceso de autenticación, el ataque BitB tiene como objetivo replicar todo este proceso utilizando una combinación de código HTML y CSS para crear un ventana del navegador completamente fabricada.
“Combine el diseño de la ventana con un iframe que apunta al servidor malicioso que aloja la página de phishing, y es básicamente indistinguible”, dijo mrd0x en un artículo técnico publicado la semana pasada. “JavaScript se puede usar fácilmente para hacer que la ventana aparezca en un enlace o en un clic de botón, en la carga de la página, etc.”
Curiosamente, la técnica ha sido abusada en la naturaleza al menos una vez antes. En febrero de 2020, Zscaler reveló detalles de una campaña que aprovechó el truco de BitB para desviar credenciales para el servicio de distribución digital de videojuegos Steam a través de sitios web falsos de Counter-Strike: Global Offensive (CS: GO).
“Normalmente, las medidas que toma un usuario para detectar un sitio de phishing incluyen verificar si la URL es legítima, si el sitio web usa HTTPS y si hay algún tipo de homógrafo en el dominio, entre otros”, dijo Prakhar, investigador de Zscaler. Shrotriya dijo en ese momento.
“En este caso, todo se ve bien ya que el dominio es steamcommunity[.]com, que es legítimo y usa HTTPS. Pero cuando tratamos de arrastrar este indicador desde la ventana que se usa actualmente, desaparece más allá del borde de la ventana, ya que no es una ventana emergente legítima del navegador y se crea utilizando HTML en la ventana actual”.
Si bien este método facilita significativamente el montaje de campañas de ingeniería social efectivas , vale la pena señalar que las víctimas potenciales deben ser redirigidas a un dominio de phishing que pueda mostrar una ventana de autenticación falsa para la recolección de credenciales.
“Pero una vez que llega al sitio web propiedad del atacante, el usuario estará tranquilo mientras escribe sus credenciales en lo que parece ser el sitio web legítimo (porque la URL confiable lo dice)”, agregó mrd0x.
