Sneaky2FA Tambah Serangan Browser-in-the-Browser untuk Bobol Akun Microsoft 365

Platform phishing-as-a-service (PhaaS) Sneaky2FA kembali berevolusi dengan menambahkan teknik Browser-in-the-Browser (BitB)—metode penipuan populer yang terlihat seperti jendela login asli, namun sepenuhnya palsu. Penambahan fitur ini membuat penjahat siber semakin mudah mencuri kredensial Microsoft 365 sekaligus session token yang masih aktif, efektif melewati perlindungan two-factor authentication (2FA).

Sneaky2FA merupakan salah satu layanan PhaaS paling aktif saat ini, bersaing dengan Tycoon2FA dan Mamba2FA, dengan fokus utama menargetkan pengguna Microsoft 365 di berbagai organisasi.

Bagaimana Serangan Sneaky2FA Berjalan

Sebelumnya, Sneaky2FA terkenal dengan:

• serangan berbasis SVG,
• teknik attacker-in-the-middle (AitM) untuk memproksi proses login,
• pencurian token sesi dari halaman login asli Microsoft.

Namun kini platform tersebut menambahkan BitB pop-up, yang membuat korban melihat jendela login Microsoft palsu yang sangat meyakinkan — lengkap dengan:

• URL bar palsu,
• logo layanan asli,
• ukuran dan tampilan yang menyesuaikan OS dan browser korban.

Teknik BitB pertama kali diperkenalkan oleh peneliti mr.d0x pada 2022 dan sejak itu dipakai untuk membobol akun Facebook, Steam, dan layanan lainnya.

Tahap Serangan Sneaky2FA (Push Security)

1. Korban membuka link phishing pada domain seperti previewdoc[.]com.
2. Korban melewati verifikasi bot Cloudflare Turnstile.
3. Situs meminta korban “Sign in with Microsoft” untuk melihat dokumen.
4. Saat tombol diklik, jendela BitB palsu muncul—meniru autentikasi Microsoft.
5. Dalam jendela itu, Sneaky2FA memuat reverse-proxy login Microsoft untuk:
   • mencuri username & password,
   • mengambil session token,
   • melewati proteksi 2FA.

Karena reverse-proxy menggunakan alur login asli Microsoft, korban tidak menyadari bahwa autentikasi sedang diambil alih.

Mengapa Serangan BitB Berbahaya?

BitB menciptakan jendela palsu yang:

• tidak bisa ditarik keluar dari browser (klue keaslian palsu),
• tidak muncul sebagai jendela terpisah di taskbar,
• menampilkan URL palsu seolah berasal dari domain asli Microsoft,
• terlihat seperti pop-up OAuth resmi.

Dengan kombinasi BitB + AitM, serangan menjadi jauh lebih meyakinkan dan sulit dideteksi.

Teknik Penghindaran Deteksi

Sneaky2FA menggunakan:

• HTML & JavaScript yang sangat diobfusksi,
• teks UI dipecah dengan tag tak terlihat,
• gambar dan elemen UI disimpan sebagai image encoded,
• pemuatan kondisional untuk:
  • menampilkan halaman normal bagi peneliti atau bot,
  • hanya menampilkan halaman phishing kepada target asli.

Hal ini membuat deteksi otomatis oleh scanner web semakin sulit.

Cara Mengecek Pop-up Palsu

Peneliti keamanan memberikan saran untuk memverifikasi keaslian jendela login:

1. Coba tarik jendela pop-up keluar dari browser
   • Pop-up asli → bisa dipindahkan
   • BitB (iframe) → tidak bisa keluar dari area browser
2. Cek taskbar
   • Pop-up asli → muncul sebagai instance browser baru
   • BitB → tidak muncul di taskbar
3. Periksa alamat URL dengan hati-hati
   • BitB hanya menampilkan URL visual, bukan URL sebenarnya.

Sneaky2FA Bukan Satu-satunya

Teknik BitB juga ditemukan pada PhaaS lain seperti Raccoon0365/Storm-2246, yang baru-baru ini dibongkar oleh Microsoft dan Cloudflare setelah mencuri ribuan kredensial Microsoft 365.

Dengan peningkatan teknik seperti ini, organisasi perlu memperkuat pelatihan keamanan dan memastikan kontrol deteksi agar serangan phishing tingkat lanjut ini bisa dideteksi sejak dini.