Atakujący mogą tworzyć komputerowe aplikacje phishingowe za pomocą trybu aplikacji przeglądarki
Damian S
6 października 2022
Badacz bezpieczeństwa odkrył nową technikę phishingu, która może pozwolić sprawcom zamaskować złośliwe formularze logowania jako aplikacje komputerowe poprzez nadużywanie funkcji przeglądarki internetowej.
Dostępna do wykorzystania funkcja, zwana trybem aplikacji, jest dostępna w Google Chrome, Microsoft Edge, Brave i innych przeglądarkach internetowych opartych na Chromium. Przeglądarki obsługujące dodatek flagi wiersza poleceń –app mogą uruchamiać witryny w trybie aplikacji, zamieniając je w pozornie oryginalne aplikacje komputerowe.
Jak uruchamiane są witryny w trybie aplikacji
Witryny w trybie aplikacji są uruchamiane w osobnych oknach przeglądarki, przypominają aplikacje komputerowe, nie mają paska adresu, a w niektórych przypadkach używają nawet favicon witryny zamiast ikony przeglądarki. Uruchomienie aplikacji przez Microsoft Edge wyświetla ikonę przeglądarki, podczas gdy próba wykonania tej samej procedury w Chrome renderuje favicon witryny na pasku zadań systemu Windows.
Mr.d0x, który odkrył również techniki phishingowe Browser-in-the-Browser (BITB) i Microsoft WebView2, zademonstrował potencjał nowego typu ataku. Badacz zasugerował wstawienie fałszywego paska adresu w nieuczciwej aplikacji internetowej, aby uniknąć wykrycia przez użytkowników o sokolim wzroku.
Co więcej, w swoim Proof-of-Concept (PoC) zamienili favicon swojej witryny na logo Microsoft, aby zwiększyć pozorną legalność aplikacji.
„Wyobraź sobie scenariusz, w którym użytkownik ma jakieś oprogramowanie działające na komputerze, na przykład pomyśl o oprogramowaniu VPN” – czytamy na blogu mr.d0x. „Dzięki tej metodzie możesz stworzyć stronę internetową, która podszywa się pod wygląd tego oprogramowania”.
Przeznaczenie sposobu na oszustwo
Technika ta jest przeznaczona głównie do wewnętrznego phishingu, ale może być skuteczna w zewnętrznych scenariuszach phishingu, dostarczając fałszywą aplikację jako pliki. Badacz wyjaśnia, że sprawcy muszą jedynie skonfigurować stronę phishingową tak, aby wyświetlała fałszywy pasek adresu u góry i ustawić parametr –app tak, aby wskazywał stronę phishingową.
„Możesz podszywać się pod monity logowania do systemu Windows, oprogramowanie VPN, oprogramowanie do tworzenia kopii zapasowych i prawie wszystko, jeśli masz podstawowe umiejętności HTML/CSS” – czytamy na blogu.
Wyspecjalizowane rozwiązania programowe, takie jak Bitdefender Total Security, mogą pomóc w zapobieganiu atakom phishingowym i innym rodzajom cyberzagrożeń.
Należę do działu Webmasterów. Do moich zadań należy tworzenie, poprawianie i pozycjonowanie nowych stron i wpisów na blogu. Aktualnie dalej jestem na etapie kształcenia się jako informatyk.
W wolnym czasie dokształcam się w zakresie kolejnych języków programowania i uczę się tworzenia aplikacji mobilnych. W weekendy lubię zrelaksować się wędkując.