一种使用 Chrome 的应用程序模式功能的新网络钓鱼技术允许攻击者显示作为桌面应用程序出现的本地登录表单,从而更容易窃取凭据。
应用程序模式功能适用于所有基于 Chromium 的浏览器,包括 Google Chrome、Microsoft Edge 和 Brave 浏览器。它可以生成逼真的登录屏幕,很难与合法登录提示区分开来。
由于桌面应用程序通常更难被欺骗,用户不太可能像对待更广泛地被滥用于网络钓鱼的浏览器窗口一样谨慎对待它们。
研究人员 mr.d0x 证明了在网络钓鱼攻击中使用 Chrome 应用程序模式的潜力 ,他还在 今年早些时候设计了“浏览器中的浏览器”攻击。多个威胁行为者后来在网络钓鱼攻击中使用了 BiTB 技术来窃取凭据。
Chromium 应用模式功能
Chrome 的应用程序模式允许 Web 开发人员创建具有原生桌面外观的 Web 应用程序,适合 ChromeOS 或想要享受干净、简约界面的用户,例如观看 YouTube。
应用程序模式允许网站在不显示 URL 地址栏、浏览器工具栏等的单独窗口中启动,而 Windows 任务栏显示网站的图标而不是 Chrome 的图标。
这可能允许威胁参与者创建虚假的桌面登录表单,如果用户没有故意启动这些“应用程序”,则可能导致偷偷摸摸的网络钓鱼攻击。
在攻击中滥用应用程序模式
要使用该技术进行攻击,威胁参与者必须首先说服用户运行 Windows 快捷方式,该快捷方式使用 Chromium 的应用程序模式功能启动网络钓鱼 URL。
在 Microsoft 开始 在 Office 中默认 禁用宏后,威胁参与者已转向新的网络钓鱼攻击 ,这些攻击已被证明非常成功。一种常用的方法是通过电子邮件发送 ISO 档案中的 Windows 快捷方式 (.LNK) 以分发 QBot、 BazarLoader、 BumbleBee和其他恶意软件。
但是,安装恶意软件非常嘈杂,很容易被机器上运行的安全软件检测到。另一方面,打开浏览器访问新的网络钓鱼 URL 的可能性较小。
现在默认安装在 Windows 10 及更高版本中的 Microsoft Edge,更容易进行这些攻击,因为威胁者可以简单地分发启动 Microsoft Edge 的 Windows 快捷方式文件。
来源:BleepingComputer
正如 mr.d0x 在他的帖子中解释的那样,使用以下命令,恶意攻击者可以创建在目标计算机上启动网络钓鱼“小程序”的快捷方式。
# Chrome
"C:\Program Files\Google\Chrome\Application\chrome.exe" --app=https://example.com
# Microsoft Edge
"c:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --app=https://example.com
尽管这需要访问目标机器,这是一个强有力的先决条件,但这并不是滥用 Chrome 应用模式的唯一方法。
或者,攻击者可以使用可移植的 HTML 文件发起攻击,嵌入“-app”参数以指向网络钓鱼站点并将文件分发给目标。
根据用例,攻击者还可以使用 浏览器中的浏览器技术 插入虚假地址栏,方法是添加所需的 HTML/CSS,并创建软件克隆,例如 Microsoft 365、Microsoft Teams ,甚至是 VPN 登录提示。
研究人员还声称,可以使用这些操作系统的适当命令对 macOS 和 Linux 发起攻击。
"/Applications/Google Chrome.app/Contents/MacOS/Google Chrome" --app=https://example.com网络钓鱼窗口还可以通过 JavaScript 接收操作命令,例如在用户输入登录凭据后关闭、接受窗口大小调整请求或在屏幕上的特定位置呈现。
由于要求在设备上本地启动 Chromium 应用程序模式,攻击的可能性受到限制。这种本地访问意味着设备已经存在一定程度的妥协。
但是,一旦威胁行为者诱骗目标启动 Windows 快捷方式,高级网络钓鱼攻击的可能性仅受攻击者的创造力限制。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Web浏览器应用模式可被滥用以制作桌面钓鱼页面
