Sneaky2FA agrega BITB e facilita roubo de contas Microsoft | Riscos e Ameaças

A plataforma Sneaky2FA passou a usar a técnica Browser‑in‑the‑Browser (BITB) para exibir logins Microsoft falsos dentro de janelas embutidas, combinado com proteções anti‑bot (Cloudflare Turnstile), ofuscação e domínios rotativos. A mudança aumenta a eficácia do PhaaS e exige detecção baseada em rendering e respostas a anomalias de autenticação.

A plataforma de phishing Sneaky2FA passou a incorporar a técnica Browser-in-the-Browser (BITB), tornando as páginas de login falsas muito mais convincentes e facilitando o roubo de credenciais de contas Microsoft.

Panorama

Relatórios do Push Security, replicados pelo veículo que documentou o caso, mostram que a infraestrutura Sneaky2FA — um serviço de phishing como produto (PhaaS) comercializado em canais como Telegram — adicionou BITB ao seu arsenal. A técnica coloca uma janela de navegador falsa dentro da própria página do atacante, que replica a experiência de um login legítimo do Microsoft account e adapta automaticamente a aparência ao sistema operacional e ao browser do visitante.

Vetor e técnicas observadas

Segundo a análise citada, o ataque começa com um isco que simula um documento do Acrobat Reader e solicita um login Microsoft para prosseguir. Ao clicar, o usuário vê uma janela de login que, na prática, é um elemento contido na página do atacante — não uma navegação para o domínio real de autenticação.

BITB: a janela embutida simula uma sessão do navegador e reduz sinais óbvios de fraude;
Proteção anti-bot: antes de exibir a página, o fluxo exige a passagem por Cloudflare Turnstile, dificultando análise automatizada;
Ofuscação e URLs longas: HTML/JavaScript fortemente ofuscados e caminhos de URL com ~150 caracteres limitam a detecção por reputação e padrões estáticos;
Domínios rotativos e infraestrutura furtiva: domínios operados em sites comprometidos ou com aparência antiga são usados por curtos períodos.

Impacto e alcance

Phishing-as-a-Service reduz a barreira técnica para criminosos e, com BITB, eleva a taxa de sucesso de campanhas dirigidas a contas Microsoft e serviços associados (Exchange, M365, Teams, Azure AD). A presença do desafio Turnstile e a execução dinâmica do código tornam as técnicas mais difíceis de bloquear com filtros tradicionais que dependem apenas de reputação de domínio ou assinaturas.

Mitigações práticas

As fontes recomendam que organizações e equipes de segurança adotem controles que vão além do bloqueio de domínios, por exemplo:

Educação focada em sinais visuais e fluxos legítimos de SSO (single sign-on) versus janelas embutidas;
autenticação forte e análise de risco de sessão (MFA adaptativa, bloqueios por geolocalização/risco de dispositivo);
ferramentas de detecção de páginas vivas (rendering em sandbox) para identificar BITB e conteúdo dinâmico ofuscado;
monitoramento de logs de autenticação e alertas para tentativas simultâneas ou incomuns de validação de contas.

Limitações das informações

As publicações citam as descobertas do Push Security mas não fornecem métricas de alcance global, contagem de vítimas ou vetores de distribuição usados para cada campanha específica. Também não há indicação — nas fontes — de compromissos em massa em organizações específicas.

Relevância para times de segurança

BITB representa uma evolução do phishing técnico que reduz a eficácia de contramedidas tradicionais centradas apenas em bloqueio de domínios e assinaturas. Equipes de defesa devem priorizar mecanismos capazes de analisar comportamento de páginas em tempo real, reforçar políticas de MFA e integrar telemetria de autenticação com respostas automatizadas para tentativas anômalas.