Clicky

Este ataque de 'navegador en el navegador' robará tus contraseñas

Ataque de navegador en el navegador (BitB)

Hace que el phishing sea casi indetectable

Se puede explotar una nueva técnica de phishing llamada ataque de navegador en el navegador (en inglés browser-in-the-browser, BitB) para simular una ventana de navegador dentro del navegador para falsificar un dominio legítimo, lo que hace posible realizar convincentes ataques de phishing.

Según el probador de penetración e investigador de seguridad, que utiliza el identificador mrd0x en Twitter, el método aprovecha las opciones de inicio de sesión único (SSO, por sus singlas en inglés) de terceros integradas en sitios web como "Iniciar sesión con Google" (o Facebook, Apple, o Microsoft).

Si bien el comportamiento predeterminado cuando un usuario intenta iniciar sesión a través de estos métodos es recibir una ventana emergente para completar el proceso de autenticación, el ataque BitB tiene como objetivo replicar todo este proceso utilizando una combinación de código HTML y CSS para crear un ventana del navegador completamente fabricada.

ataque BitB demo

"Combina el diseño de la ventana con un iframe que apunta al servidor malicioso que aloja la página de phishing, y es básicamente indistinguible", dijo mrd0x en un artículo técnico publicado la semana pasada. "JavaScript se puede usar fácilmente para hacer que la ventana aparezca en un enlace o en un clic de botón, en la carga de la página, etc."

Curiosamente, la técnica ha sido abusada antes en la naturaleza al menos una vez. En febrero de 2020, Zscaler reveló detalles de una campaña que aprovechó el truco de BitB para desviar credenciales para el servicio de distribución digital de videojuegos Steam a través de sitios web falsos de Counter-Strike: Global Offensive (CS: GO).

"Normalmente, las medidas que toma un usuario para detectar un sitio de phishing incluyen verificar si la URL es legítima, si el sitio web usa HTTPS y si hay algún tipo de homógrafo en el dominio, entre otros", dijo en ese momento el investigador de Zscaler, Prakhar Shrotriya.

"En este caso, todo se ve bien ya que el dominio es steamcommunity[.]com, que es legítimo y usa HTTPS. Pero cuando tratamos de arrastrar este aviso desde la ventana que se usa actualmente, desaparece más allá del borde de la ventana, ya que no es una ventana emergente legítima del navegador y se crea usando HTML en la ventana actual".

Si bien este método facilita significativamente la creación de campañas de ingeniería social efectivas, vale la pena señalar que las víctimas potenciales deben ser redirigidas a un dominio de phishing que pueda mostrar una ventana de autenticación falsa para la recolección de credenciales.

"Pero una vez que llega al sitio web propiedad del atacante, el usuario estará tranquilo mientras escribe sus credenciales en lo que parece ser el sitio web legítimo (porque lo dice la URL confiable)", agregó mrd0x.

Estos son algunos ejemplos de los correos electrónicos de phishing que estoy recibiendo últimamente:

phishing de Carrefour

Imagen: Correo de phishing de Carrefour con un enlace a un falso dominio (no he descargado las imágenes por seguridad).

phishing de Bankia

Imagen: Correo de phishing de Bankia (que ya no existe como tal ya que ha sido adsorbida por CaixaBank) con un archivo adjunto malicioso que se hace pasar por un PDF. En realidad es un archivo extraíble que si lo abres instala en tu ordenador una aplicación maliciosa. Este archivo en particular fue bloqueado por mi antivirus en cuanto llegó el email.

Jesus_Caceres