Web browser app mode može da se zloupotrebi za pravljenje desktop stranica za phishing
Nova tehnika phishinga koja koristi Chrome-ovu funkciju Application Mode, omogućava akterima pretnji da prikažu lokalne obrasce za prijavu koji se pojavljuju kao desktop aplikacije, što olakšava krađu akreditiva.
Application Mode omogućava veb programerima da kreiraju veb aplikacije sa izvornim desktop izgledom
Funkcija Application Mode dostupna je u svim browserima zasnovanim na Chromium-u, uključujući Google Chrome, Microsoft Edge i Brave Browser. Može da generiše ekrane za prijavu realnog izgleda koje je teško razlikovati od legitimnog upita za prijavu. Pošto je desktop aplikacije generalno teže lažirati, manje je verovatno da će ih korisnici tretirati sa istim oprezom koji rezervišu za prozore browsera koji se češće zloupotrebljavaju za phishing. Potencijal za korišćenje Chrome app režima u phishing napadima pokazao je istraživač mr.dox, koji je takođe osmislio napade „Browser-in-the-Browser” ranije tokom godine. Više aktera pretnji je kasnije koristilo BiTB tehniku u phishing napadima da bi ukrali akreditive.
Application Mode funkcija Chromium-a
Chrome-ov Application Mode omogućava veb programerima da kreiraju veb aplikacije sa izvornim desktop izgledom pogodnim za Chrome OS ili korisnike koji žele da uživaju u čistom, minimalističkom interfejsu, kao što je gledanje YouTube-a. Režim aplikacije omogućava veb-sajtovima da se pokreću u posebnom prozoru koji ne prikazuje traku URL adrese, trake sa alatkama browsera itd., dok Windows Taskbar prikazuje favicon veb-sajta umesto Chrome-ove ikone. Ovo može omogućiti akterima pretnji da kreiraju lažne desktop obrasce za prijavu, a ako korisnik ne pokreće svesno ove „aplikacije“, to bi moglo dovesti do prikrivenih phishing napada.
Zloupotreba app mode-a u napadima
Da bi izvršili napad pomoću ove tehnike, akteri pretnji moraju prvo da ubede korisnika da pokrene Windows prečicu koja pokreće phishing URL koristeći Chromium-ovu funkciju App Mode. Nakon što je Microsoft počeo da podrazumevano onemogućava makroe u Officeu, akteri pretnji su prešli na nove phishing napade koji su se pokazali veoma uspešnim. Jedna metoda koja se obično koristi je slanje emailom Windows prečica (.LNK) u ISO arhivama za distribuciju QBot-a, BazarLoader-a, BumbleBee-a i drugog malvera. Međutim, instaliranje zlonamernog softvera privlači pažnju i može ga lako otkriti bezbednosni softver koji radi na mašini. S druge strane, manja je verovatnoća da će otvaranje browsera na novu phishing URL adresu biti otkriveno. Pošto je Microsoft Edge sada podrazumevano instaliran u Windows 10 i novijim verzijama, lakše je sprovesti ove napade, jer akteri pretnji mogu jednostavno da distribuiraju datoteke prečica za Windows koje pokreću Microsoft Edge.
Kako mr.dox objašnjava u svom postu, koristeći sledeće komande, zlonamerni napadač bi mogao da kreira prečice koje pokreću „aplet“ za krađu identiteta na računaru cilja.
# Chrome
“C:\Program Files\Google\Chrome\Application\chrome.exe” –app=https://example.com
# Microsoft Edge
“c:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe” –app=https://example.com
Iako bi to zahtevalo pristup ciljnoj mašini, što je jak preduslov, ovo nije jedini način da se zloupotrebi Chrome app mode. Alternativno, napadač može da koristi prenosivu HTML datoteku da pokrene napad, ugrađujući parametar “-app” da bi ukazao na lokaciju za krađu identiteta i distribuirao datoteke ciljevima. U zavisnosti od slučaja upotrebe, napadač takođe može da koristi Browser-in-the-Browser tehniku da ubaci lažnu adresnu traku dodavanjem potrebnog HTML/CSS-a i kreiranjem klonova softvera, kao što su, na primer, Microsoft 365, Microsoft Teams , ili čak upiti za prijavu na VPN. Istraživač takođe tvrdi da je moguće pokrenuti napad na macOS i Linux koristeći odgovarajuće komande za ove operativne sisteme.
“/Applications/Google Chrome.app/Contents/MacOS/Google Chrome” –app=https://example.com
Prozor za phishing takođe može da prima komande za radnju putem JavaScript-a, kao što je zatvaranje nakon što korisnik unese svoje akreditive za prijavu, prihvatanje zahteva za promenu veličine prozora ili prikazivanje na određenoj poziciji na ekranu. Potencijal napada je ograničen zbog zahteva da se režim Chromium aplikacije pokrene lokalno na uređaju. Ovaj lokalni pristup znači da već postoji određeni stepen kompromitovanja uređaja. Međutim, kada akteri pretnje prevare metu da pokrene Windows prečicu, potencijal za napredne phishing napade je ograničen samo kreativnošću napadača.
Izvor: Bleepingcomputer