Sneaky2FA: furto credenziali Microsoft con BitB
Topic
Approfondimenti
Trending
tutti

Sneaky2FA: furto credenziali Microsoft con BitB

Sneaky2FA è una piattaforma di phishing che usa la tecnica Browser-in-the-Browser per rubare le credenziali di login all'account Microsoft 365.
Sneaky2FA: furto credenziali Microsoft con BitB
Sicurezza
Sneaky2FA è una piattaforma di phishing che usa la tecnica Browser-in-the-Browser per rubare le credenziali di login all'account Microsoft 365.
Google AI Studio

I ricercatori di Push Security hanno descritto il funzionamento di Sneaky2FA, un PhaaS (Phishing-as-a-Service) che viene sempre più spesso sfruttato per eseguire attacchi contro gli account Microsoft 365. Lo scopo dei cybercriminali è ovviamente rubare le credenziali di login. Nell’ultima versione è stato aggiunto il supporto per la tecnica BitB (Browser-in-the-Browser) che consente di aggirare l’autenticazione in due fattori (2FA).

Descrizione di Sneaky2FA

Sneaky2FA è una delle piattaforme più note, insieme a Tycoon2FA e Mamba2FA. Ha sempre offerto la tecnica AitM (Attacker-in-the-Middle) che permette di intercettare i token di sessione. I ricercatori di Push Security hanno scoperto che Sneaky2FA offre anche la tecnica BitB per imitare una finestra di login simile a quella di Microsoft.

La falsa pagina di accesso si adatta dinamicamente al sistema operativo e al browser della vittima per ingannare l’utente. Un cybercriminale può rubare credenziali e token di sessione anche quando la protezione dell’autenticazione a due fattori (2FA) è attiva.

Gli utenti vedono un finto pop-up con un modulo di login, quando accedono alla pagina di phishing. Il pop-up è un iframe che imita il modulo di autenticazione dei servizi legittimi. Dato che l’URL nella barra degli indirizzi è quello reale, il pop-up sembra autentico.

Nel caso di Sneaky2FA, dopo il controllo del bot Cloudflare Turnstile viene mostrato un pop-up con il pulsante per l’accesso tramite account Microsoft. Cliccando sul pulsante appare il pop-up di login di Microsoft e l’indirizzo del dominio Microsoft. Ovviamente credenziali e token di sessione vengono inviati ai cybercriminali che quindi accedono all’account.

Le pagine di phishing di Sneaky2FA sono difficili da rilevare con l’analisi statica perché il codice HTML e JavaScript è pesantemente offuscato. Per scoprire se il modulo di login è autentico, l’utente può trascinarlo fuori dalla finestra del browser. Questo non è possibile con un iframe perché è collegato alla finestra principale.

Fonte: Bleeping Computer

Pubblicato il 24 nov 2025

Link copiato negli appunti

Ti potrebbe interessare

DroidLock: nuovo ransomware per Android

DroidLock: nuovo ransomware per Android
Miglior antivirus per PC e smartphone: scopri TotalAV, oggi in promozione all'80% in meno

Miglior antivirus per PC e smartphone: scopri TotalAV, oggi in promozione all'80% in meno
Spiderman: phishing contro banche europee

Spiderman: phishing contro banche europee
Con Incogni cancelli i tuoi dati personali dal web: ora costa il 55% in meno

Con Incogni cancelli i tuoi dati personali dal web: ora costa il 55% in meno
DroidLock: nuovo ransomware per Android

DroidLock: nuovo ransomware per Android
Miglior antivirus per PC e smartphone: scopri TotalAV, oggi in promozione all'80% in meno

Miglior antivirus per PC e smartphone: scopri TotalAV, oggi in promozione all'80% in meno
Spiderman: phishing contro banche europee

Spiderman: phishing contro banche europee
Con Incogni cancelli i tuoi dati personali dal web: ora costa il 55% in meno

Con Incogni cancelli i tuoi dati personali dal web: ora costa il 55% in meno
Luca Colantuoni
Pubblicato il
24 nov 2025
Link copiato negli appunti