Chrome'un Uygulama Modu özelliğini kullanan yeni bir kimlik avı tekniği, tehdit aktörlerinin masaüstü uygulamaları olarak görünen yerel giriş formlarını görüntülemelerini sağlayarak kimlik bilgilerini çalmayı kolaylaştırır.
Uygulama modu özelliği, Google Chrome, Microsoft Edge ve Cesur Tarayıcı dahil olmak üzere tüm krom tabanlı tarayıcılarda mevcuttur. Meşru bir giriş isteminden ayrım yapmak zor olan gerçekçi görünümlü giriş ekranları oluşturabilir.
Masaüstü uygulamalarının ortaklaşması genellikle daha zor olduğundan, kullanıcıların kimlik avı için daha yaygın bir şekilde istismar edilen tarayıcı pencereleri için rezerve ettikleri dikkatle aynı şekilde davranma olasılığı daha düşüktür.
Chrome'un uygulama modunu kimlik avı saldırılarında kullanma potansiyeli, yılın başlarında "tarayıcı tarayıcısı" saldırılarını da tasarlayan araştırmacı Mr.D0X tarafından gösterildi. Çoklu tehdit aktörleri daha sonra kimlik bilgilerini çalmak için kimlik avı saldırılarında Bitb tekniğini kullandı.
Chrome'un uygulama modu, Web geliştiricilerinin ChromeO'lar veya YouTube'u izlemek gibi temiz, minimalist bir arayüzün tadını çıkarmak isteyen kullanıcılar için uygun bir masaüstü görünümü olan web uygulamaları oluşturmalarını sağlar.
Uygulama modu, web sitelerinin bir URL adres çubuğu, tarayıcı araç çubukları vb. Görüntüleyen ayrı bir pencerede başlatılmasına izin verirken, Windows görev çubuğu Chrome'un simgesi yerine web sitesinin favicon'unu görüntüler.
Bu, tehdit aktörlerinin sahte masaüstü giriş formları oluşturmasına izin verebilir ve kullanıcı bilerek bu "uygulamaları" başlatmıyorsa, sinsi kimlik avı saldırılarına yol açabilir.
Tekniği kullanarak bir saldırı yapmak için, tehdit aktörleri önce bir kullanıcıyı Chromium'un uygulama modu özelliğini kullanarak bir kimlik avı URL'sini başlatan bir Windows kısayolunu çalıştırmaya ikna etmelidir.
Microsoft, görevde varsayılan olarak makroları devre dışı bırakmaya başladıktan sonra, tehdit aktörleri çok başarılı olduğu kanıtlanmış yeni kimlik avı saldırılarına geçti. Yaygın olarak kullanılan bir yöntem, QBOT, Bazarloader, Bumblebee ve diğer kötü amaçlı yazılımları dağıtmak için ISO arşivlerinde Windows kısayollarına (.lnk) e -posta göndermektir.
Ancak, kötü amaçlı yazılım yüklemek çok gürültülüdür ve makinede çalışan güvenlik yazılımı ile kolayca tespit edilebilir. Öte yandan, yeni bir kimlik avı URL'sine bir tarayıcı açmak daha az tespit edilecektir.
Microsoft Edge şimdi Windows 10'a ve daha sonra varsayılan olarak yüklendiğinde, tehdit aktörleri Microsoft Edge'i başlatan Windows kısayol dosyalarını dağıtabildiğinden, bu saldırıları gerçekleştirmek daha kolaydır.
Mr.D0X'in görevinde açıkladığı gibi, aşağıdaki komutları kullanarak, kötü niyetli bir saldırgan, hedefin bilgisayarında bir kimlik avı "uygulaması" başlatan kısayollar oluşturabilir.
Bu, güçlü bir ön koşul olan hedefin makinesine erişim gerektirse de, Chrome'un uygulama modunu kötüye kullanmanın tek yolu bu değildir.
Alternatif olarak, saldırgan saldırıyı başlatmak için taşınabilir bir HTML dosyası kullanabilir ve bir kimlik avı sitesine işaret etmek ve dosyaları hedeflere dağıtmak için "-App" parametresini yerleştirebilir.
Kullanım durumuna bağlı olarak, bir saldırgan, gerekli HTML/CSS ekleyerek ve örneğin Microsoft 365, Microsoft Teams gibi yazılım klonları oluşturarak sahte bir adres çubuğunu eklemek için tarayıcıdaki tarayıcı tekniğini de kullanabilir. , hatta VPN giriş istemleri.
Araştırmacı ayrıca, bu işletim sistemleri için uygun komutları kullanarak MacOS ve Linux saldırısını başlatmanın mümkün olduğunu iddia ediyor.
Kimlik avı penceresi, kullanıcı giriş kimlik bilgilerini girdikten, pencere yeniden boyutlandırma isteklerini kabul ettikten veya ekranda belirli bir konumda oluşturduktan sonra kapanış gibi JavaScript aracılığıyla eylem komutları da alabilir.
Krom uygulaması modunun bir cihazda yerel olarak başlatılması gerekliliği nedeniyle saldırının potansiyeli sınırlıdır. Bu yerel erişim, cihazın zaten bir dereceye kadar uzlaşması olduğu anlamına gelir.
Bununla birlikte, tehdit aktörleri bir Windows kısayolunu başlatmak için bir hedefi kandırdıktan sonra, gelişmiş kimlik avı saldırıları potansiyeli sadece bir saldırganın yaratıcılığı ile sınırlıdır.
LinkedIn Akıllı Bağlantılar Kaçan E -posta Yeşhası Saldırılarında İstismar
Bilgisayar korsanları, tarayıcıdaki yeni tarayıcı saldırılarında buhar hesaplarını çalıyor
Eşcinsel Bağlantı Sitesi Tehlikeli Krom Uzantıları İtme Yazımları, Dolandırıcılık
Kraliçe II. Elizabeth'in Ölümü Microsoft kimlik bilgilerini çalmak için sömürüldü
Yeni Kimlik avı araç seti, herkesin sahte krom tarayıcı pencereleri oluşturmasına izin verir
Kaynak: Bleeping Computer