Un nou kit de phishing a fost lansat, permițând echipelor de red team și infractorilor cibernetici să creeze aplicații web progresive (PWAs) care afișează formulare de autentificare corporative convingătoare pentru a fura date de autentificare.
O PWA este o aplicație bazată pe web creată folosind HTML, CSS și JavaScript, care poate fi instalată de pe un site web ca o aplicație desktop obișnuită. Odată instalată, sistemul de operare va crea un shortcut pentru PWA și îl va adăuga la Add or Remove Programs în Windows și în folderul /Users/
Când este lansată, o aplicație web progresivă va rula în browserul din care ați instalat-o, dar va fi afișată ca o aplicație desktop cu toate controalele standard ale browserului ascunse.
Multe site-uri utilizează o PWA pentru a oferi o experiență de aplicație desktop, inclusiv X, Instagram, Facebook și TikTok.
Un nou toolkit de phishing creat de cercetătorul de securitate mr.d0x demonstrează cum să se creeze aplicații PWA pentru a afișa formulare de autentificare corporative, chiar și cu o bară de adrese falsă care afișează URL-ul normal de autentificare corporativ pentru a părea mai convingător.
„PWAs se integrează mai bine cu sistemul de operare (adică au propriul lor icon de aplicație, pot trimite notificări) și, prin urmare, pot duce la o implicare mai mare pentru site-urile web,” explică cercetătorul într-o postare pe blog despre noul toolkit.
„Problema cu PWAs este că manipularea interfeței de utilizator în scopuri de phishing este posibilă, așa cum vom explora în acest blog.”
În timp ce noile șabloane de phishing vor necesita puțină convingere pentru a determina un utilizator să instaleze PWA, există scenarii în care acest lucru poate fi mai ușor de realizat.
Este comun ca actorii de amenințare să creeze site-uri concepute pentru a distribui programe care instalează malware, așa cum am văzut în trecut cu site-urile false NordVPN și ProtonVPN și cu curățătoarele false pentru Windows PC.
Într-un mod similar, un actor de amenințare poate crea site-uri care promovează software sau unelte de management la distanță false care includ un buton pentru a instala software-ul lor, așa cum este arătat mai jos.
Când vizitatorul dă clic pe butonul de instalare, browserul va instala PWA și-l va adăuga în sistemul de operare, cu Windows cerând dacă doriți să creați un shortcut în Taskbar.
Când PWA se lansează automat, va solicita utilizatorului să introducă datele de autentificare pentru a se conecta, fie acelea sunt, de exemplu, pentru un produs VPN, Microsoft, AWS sau date de autentificare la magazinul online.
Această tehnică se evidențiază deoarece mr.d0x ilustrează cum puteți integra o bară de adrese falsă conținând un URL fals în PWA, similar cu modul în care a fost făcut în tehnica Browser-in-the-Browser. Acest lucru va face ca formularul de autentificare să pară mai legitim pentru țintă.
Cercetătorul a lansat șabloanele de phishing PWA pe GitHub, permițând oricui să le testeze sau să le modifice pentru propriile scenarii.
„Utilizatorii care nu folosesc adesea PWAs ar putea fi mai susceptibili la această tehnică, deoarece ar putea să nu fie conștienți că PWAs nu ar trebui să aibă o bară de URL. Chiar dacă Chrome pare să fi luat măsuri împotriva acestui lucru, arătând periodic domeniul real în bara de titlu, cred că obiceiurile oamenilor de a „verifica URL-ul” vor face acea măsură mai puțin utilă.
În plus, câte programe de conștientizare a securității menționează astăzi phishing-ul PWA? Pot vorbi doar din experiența personală și nu am văzut companii menționând acest lucru în trainingurile lor. Lipsa de familiaritate cu PWA și pericolul pe care îl pot prezenta ar putea face această tehnică mai eficientă.
Pot vedea această tehnică fiind utilizată de atacatori pentru a solicita utilizatorilor să instaleze un software și apoi în fereastra PWA să se întâmple phishing-ul. Acest lucru a fost demonstrat în videoclipul demo pe care l-am furnizat.
În cele din urmă, un lucru de ținut minte este că Windows îi solicită activ utilizatorului să fixeze PWA în bara de activități. Data viitoare când fereastra este deschisă, va deschide automat URL-ul menționat în parametrul „start_url” din fișierul manifest. Acest lucru ar putea determina utilizatorul să fixeze PWA și să-l folosească de mai multe ori, oferind atacatorului mai multe rezultate.”
Cercetătorul este cunoscut pentru kiturile sale de phishing anterioare care afișează arhivatoare de fișiere false în browser, folosesc VNC pentru a trece de MFA și celebrele șabloane Browser in the Browser, care au fost abuzate de bande de ransomware și pentru a fura date de autentificare Steam.
În timp ce această nouă metodă de phishing PWA va necesita mai multă convingere pentru a determina țintele să instaleze aplicația, nu ar fi surprinzător să descoperim actori de amenințare folosind această tehnică la un moment dat în viitor.
În mod nefericit, nu există politici de grup existente care să poată preveni instalarea aplicațiilor web progresive, politici existente permitând doar interzicerea anumitor ID-uri de extensii sau accesul la anumite URL-uri specifice.
O demonstrație a kitului de phishing PWA poate fi văzută mai jos.
Leave a Reply