Новый метод фишинга с использованием функции Chrome Application Mode позволяет злоумышленнику создавать фишинговые формы входа в систему, которые трудно отличить от обычной страницы входа , что упрощает кражу учетных данных. Функция Application Mode доступна во всех браузерах на базе Chromium, включая Google Chrome, Microsoft Edge и Brave Browser.
Chrome Application Mode позволяет создавать веб-приложения с внешним видом рабочего стола, подходящим для ChromeOS. Режим приложения позволяет веб-сайтам запускаться в отдельном окне, в котором не отображается строка URL-адреса и панели инструментов браузера, а на панели задач Windows отображается значок веб-сайта вместо значка Chrome.
Это позволяет киберпреступнику создавать поддельные формы входа в систему на рабочем столе и совершить скрытую фишинговую атаку.
Gmail в режиме приложения
Чтобы провести атаку с использованием этого метода, злоумышленник должен сначала убедить пользователя запустить ярлык Windows, который запускает фишинговый URL-адрес с помощью функции Chromium App Mode.
Одним из наиболее часто используемых методов является отправка по электронной почте LNK ярлыков в ISO архивах для распространения QBot , BazarLoader , BumbleBee и других вредоносных программ. Кроме того, открытие браузера по фишинговому URL-адресу позволяет избежать обнаружения средствами безопасности, установленных на компьютере жертвы.
С браузером Microsoft Edge, который установлен в Windows по умолчанию, проводить эти атаки стало проще, поскольку хакер может просто распространять ярлыки Windows, запускающие Microsoft Edge.
Ярлык, замаскированный под документ Word
По словам исследователя кибербезопасности mr.d0x, используя определнные команды, злоумышленник может создать ярлыки, которые запускают фишинговый апплет на компьютере цели.
Киберпреступник также может использовать HTML-файл, внедрив параметр «-app», чтобы указать на фишинговый сайт и распространить файлы среди целей.
Фишинговая форма входа в Microsoft Teams в режиме приложения Chrome
В зависимости от варианта использования злоумышленник также может использовать метод «браузер в браузере» ( browser-in-the-browser, BitB ), чтобы вставить поддельную адресную строку, и создав клоны ПО. mr.d0x также утверждает, что можно запустить атаку на macOS и Linux, используя соответствующие команды для этих операционных систем.
Фишинговое окно также может получать команды через JavaScript, например:
окно может закрыться сразу после того, как пользователь введет свои учетные данные для входа;
окно может менять свой размер или отображаться в определенной позиции на экране.
Возможности атаки ограничены из-за того, что Chrome Application Mode должен быть запущен локально на устройстве. Это предполагает, что устройство уже должно быть скомпрометировано злоумышленником.
Источник: SecurityLab