Sneaky2FA 网络钓鱼套件新增“浏览器中的浏览器”（BitB）功能以窃取 Microsoft 365 会话

概述 Sneaky2FA网络钓鱼即服务平台为其Microsoft 365凭证窃取工具包增加了一项重要的新功能：浏览器中的浏览器虚假登录窗口。这一增强极大地提高了网络钓鱼攻击的真实性，使攻击者能够窃取密码和活跃的认证会话，即使在启用了多因素认证的情况下也能得逞。

Push Security的最新分析显示，Sneaky2FA与Tycoon2FA和Mamba2FA一样，成为最新一个采用更先进、可绕过MFA的社会工程策略的PhaaS服务。

BitB为Sneaky2FA带来了什么 Sneaky2FA已经是一个复杂的套件，以其以下特点闻名：

• 基于SVG的网络钓鱼页面
• 攻击者中间人反向代理
• 会话令牌窃取（不仅仅是密码捕获） 但新增的BitB虚假弹窗为其攻击带来了全新水平的视觉欺骗。

BitB的工作原理 BitB最初由研究人员mr.d0x于2022年作为一个概念提出，它会在原始浏览器页面内渲染一个虚假登录窗口。它：

• 模拟一个独立的浏览器弹窗
• 显示一个展示合法域名的虚假URL地址栏
• 样式设计得与受害者的操作系统和浏览器完美匹配
• 使用一个iframe来承载恶意的登录表单 由于虚假的URL地址栏看起来很真实，受害者会相信他们正在将凭证直接输入到官方的Microsoft弹窗中。

欺骗性提示导致网络钓鱼 来源：Push Security

Sneaky2FA攻击内部流程 当前的攻击链包括：

1. 受害者收到一个托管在previewdoc[.]com上的网络钓鱼链接。
2. 他们通过Cloudflare Turnstile机器人检查，增加了信任度并规避了自动扫描器。
3. 系统提示他们“使用Microsoft登录”以查看文档。
4. 点击登录按钮会触发BitB虚假登录弹窗。
5. Sneaky2FA在弹窗内加载其反向代理的Microsoft登录流程，窃取：
   • Microsoft 365凭证
   • 活跃的会话令牌
6. 攻击者立即认证进入受害者的账户。 在此，BitB主要是一个“化妆”层，极大地提高了Sneaky2FA的AitM基础设施的可信度。

虚假窗口 来源：Push Security

隐匿与规避能力 Sneaky2FA的网络钓鱼基础设施经过高度优化，以规避浏览器保护、扫描器和安全爬虫。 Push Security强调了几种规避技术：

• 条件加载
• HTML/JS混淆
• Microsoft界面元素以编码图像形式存储，而非文本
• 动态适应操作系统、浏览器和屏幕尺寸
• 基于会话的逻辑以避免自动检测和指纹识别 这些页面的设计使得标准反网络钓鱼解决方案几乎无法检测。

如何识别虚假的BitB弹窗 由于BitB弹窗看起来极具说服力，Push Security推荐两种关键的检测方法：

1. 尝试将窗口拖出父浏览器窗口：真正的浏览器弹窗是一个独立的操作系统级窗口。而虚假的BitB弹窗无法离开原始页面的边界。
2. 检查任务栏：真正的弹窗窗口会创建一个独立的浏览器实例图标。虚假的BitB弹窗则不会。

上升趋势：BitB在PhaaS平台中的广泛应用 Sneaky2FA并非首个采用BitB的套件。 Push Security指出该技术在以下平台中广泛采用：

• Raccoon0365 / Storm-2246
• Tycoon2FA
• Mamba2FA 这三者都以Microsoft 365为目标，因为它能为攻击者带来高价值的访问权限。 BitB的集成标志着PhaaS服务正朝着更广泛地采用抗MFA网络钓鱼的方向转变，利用反向代理和逼真的UI欺骗来入侵企业云账户。