Nova técnica de phishing contorna autenticação multifator usando acesso remoto via noVNC

Pesquisadores de segurança cibernética identificaram uma técnica engenhosa de phishing que permite a hackers contornar a autenticação multifator (MFA) ao induzir vítimas a acessarem seus próprios serviços de e-mail por meio de servidores controlados remotamente. A abordagem utiliza a ferramenta de compartilhamento de tela noVNC, que permite exibir páginas de login diretamente no navegador da vítima, mas executadas no servidor do invasor, tornando todo o processo quase imperceptível.

O pesquisador conhecido como mr.d0x, durante um teste de penetração, tentou capturar credenciais de funcionários protegidos por MFA utilizando a estrutura Evilginx2, um framework popular de reverse proxy. Contudo, sistemas como Google e LinkedIn detectaram a tentativa e bloquearam o acesso, devido a mecanismos de segurança que impedem esse tipo de ataque man-in-the-middle. Para superar essa limitação, mr.d0x desenvolveu uma técnica alternativa que envolve o uso de noVNC com um navegador configurado em kiosk mode — exibindo páginas em tela cheia — para enganar as vítimas e fazê-las inserir suas credenciais diretamente em um ambiente sob controle do atacante.

Ao clicar em um link enviado por e-mail, a vítima abre uma sessão remota do navegador no servidor do invasor, sem perceber. Como tudo é feito em tela cheia, o usuário visualiza apenas a interface familiar do provedor de e-mail, como Gmail ou Outlook. Uma vez autenticado, inclusive com o código de verificação do MFA, o hacker tem acesso total à conta, podendo capturar tokens de sessão, senhas e informações confidenciais. O ataque é especialmente perigoso, pois mesmo sem registrar as credenciais explicitamente, o simples fato de a autenticação ocorrer no servidor remoto garante ao invasor acesso contínuo à conta, graças ao reconhecimento do dispositivo.

Essa abordagem também permite ações mais complexas, como o uso de proxies HTTP (como Burp Suite) para capturar todos os pacotes transmitidos durante a sessão. Além disso, o invasor pode injetar scripts JavaScript personalizados no navegador antes de enviar o link, ampliando a capacidade de coleta de dados. Embora ainda não tenha sido registrado em ataques reais, especialistas acreditam que esse método será incorporado por grupos hackers futuramente.

Curiosamente, essa técnica já havia sido antecipada em 2021 por pesquisadores da Universidade de Salento, na Itália. No estudo intitulado Browser-in-the-Middle (BitM) Attack, os autores demonstraram como o uso de noVNC pode simular páginas legítimas de login diretamente no navegador da vítima, uma base conceitual similar à explorada por mr.d0x. Como proteção, as recomendações permanecem: nunca clicar em links suspeitos, verificar a origem das URLs e manter uma postura vigilante diante de qualquer solicitação de login não esperada.

Via - BC