Investigadores de Mandiant han identificado un nuevo ataque denominado Browser in the Middle (BitM), que permite a los atacantes robar sesiones autenticadas sin necesidad de conocer credenciales o superar desafíos de autenticación multifactor (MFA). A diferencia de métodos tradicionales como Evilginx2, un proxy transparente en el que el servidor de un operador de red team actúa como intermediario entre la víctima y el servicio objetivo, BitM usa un navegador controlado por el atacante para capturar directamente la sesión de la víctima.
Esta técnica permite comprometer cuentas en cuestión de segundos, facilitando ataques a gran escala. Para mitigar estos riesgos, los investigadores recomiendan la implementación de certificados de cliente y MFA basado en hardware con FIDO2, ya que estos mecanismos dificultan la suplantación de sesiones incluso si el atacante logra acceder a las credenciales del usuario.