Kırmızı ekiplerin ve siber suçluların kimlik bilgilerini çalmak için ikna edici kurumsal giriş formlarını gösteren ilerici web uygulamaları (PWAS) oluşturmasına izin veren yeni bir kimlik avı kiti yayınlandı.
PWA, normal masaüstü uygulaması gibi bir web sitesinden yüklenebilen HTML, CSS ve JavaScript kullanılarak oluşturulan web tabanlı bir uygulamadır. Kurulduktan sonra, işletim sistemi bir PWA kısayolu oluşturacak ve Windows'a ve // // uygulamalar/klasörün MacOS'ta // uygulamaları/klasörü altındaki programları eklemek veya kaldırmak için ekleyecektir.
Başlatıldığında, yüklediğiniz tarayıcıda aşamalı bir web uygulaması çalıştırılacaktır, ancak gizli tüm standart tarayıcı kontrolleri ile bir masaüstü uygulaması olarak görüntülenecektir.
Birçok web sitesi, X, Instagram, Facebook ve Tiktok dahil olmak üzere bir masaüstü uygulama deneyimi sunmak için bir PWA kullanır.
Güvenlik araştırmacısı Mr.D0X tarafından oluşturulan yeni bir kimlik avı aracı seti, daha ikna edici görünmesi için normal kurumsal giriş URL'sini gösteren sahte bir adres çubuğu olsa bile, kurumsal giriş formlarını görüntülemek için PWA uygulamalarının nasıl oluşturulacağını gösterir.
Araştırmacı, yeni araç seti hakkında bir blog yazısında, "PWAS işletim sistemiyle daha iyi entegre (yani kendi uygulama simgeleri vardır, bildirimlere basabilirler) ve bu nedenle web siteleri için daha yüksek etkileşime yol açabilirler."
Diyerek şöyle devam etti: "PWAS ile ilgili sorun, kullanıcı arayüzünü kimlik avı amacıyla manipüle etmenin bu blogda keşfedeceğimiz için mümkün olması."
Yeni kimlik avı şablonları, bir kullanıcının PWA'yı yüklemesi için ikna edici gerektirse de, bunu yapmanın daha kolay olabileceği senaryolar vardır.
Tehdit aktörlerinin, geçmişte sahte NordVPN ve ProtonVPN siteleri ve sahte Windows PC temizleyicileri ile gördüğümüz gibi kötü amaçlı yazılım yükleyen programları dağıtmak için tasarlanmış web siteleri oluşturmaları yaygındır.
Benzer şekilde, bir tehdit oyuncusu, aşağıda gösterildiği gibi yazılımlarını yüklemek için bir düğme içeren sahte yazılımı veya uzaktan yönetim araçlarını tanıtan siteler oluşturabilir.
Ziyaretçi yükleme düğmesine tıkladığında, tarayıcı PWA'yı yükleyecek ve işletim sistemine ekleyecek, Windows görev çubuğunda bir kısayol oluşturmak isteyip istemediğinizi isteyecektir.
PWA otomatik olarak başlatıldığında, kullanıcının, örneğin bir VPN ürünü, Microsoft, AWS veya çevrimiçi mağaza kimlik bilgileri için olsun, giriş yapmak için kimlik bilgilerini girmesini isteyecektir.
Bu teknik göze çarpmaktadır, çünkü Mr.D0X, tarayıcıdaki tarayıcı tekniğinde nasıl yapıldığına benzer şekilde PWA'da sahte bir URL içeren sahte bir adres çubuğunu nasıl entegre edebileceğinizi göstermektedir. Bu, giriş formunun hedef için daha meşru görünmesine neden olur.
Araştırmacı, GitHub'daki PWA kimlik avı şablonlarını yayınladı ve herkesin kendi senaryoları için bunları test etmesine veya değiştirmesine izin verdi.
"PWAS kullanmayan kullanıcılar genellikle bu tekniğe daha şüpheli olabilirler, çünkü PWAS'ın bir URL çubuğuna sahip olmaması gerektiğinden habersiz olabilirler. Chrome, başlık çubuğundaki gerçek alanı periyodik olarak göstererek buna karşı önlemler almış gibi görünse de , Bence insanların "URL'yi kontrol etme" alışkanlıkları, bu ölçüm daha az yararlı hale getirecektir.
Ayrıca, bugün kaç güvenlik bilinci programı PWA kimlik avından bahsediyor? Sadece kişisel deneyimlerden konuşabiliyorum ve şirketlerin eğitimlerinde bundan bahsettiğini görmedim. PWA'ya aşinalık eksikliği ve potansiyel olarak poz verebilecekleri tehlike bu tekniği daha etkili hale getirebilir.
Bu tekniğin kullanıcılardan bir yazılım yüklemelerini istemek için kullanıldığını görebiliyorum ve daha sonra PWA penceresinde kimlik avı gerçekleşiyor. Bu, sağladığım demo videosunda gösterildi.
Son olarak, akılda tutulması gereken bir şey, Windows'un kullanıcıyı PWA'yı görev çubuğuna sabitlemesini aktif olarak istediğidir. Pencere bir sonraki açıldığında, manifest dosyasındaki "Start_url" parametresinde belirtilen URL'yi otomatik olarak açar. Bu, kullanıcının PWA'yı sabitlemesine ve bir kereden fazla kullanmasına neden olabilir ve saldırgana daha fazla sonuç sağlayabilir. "
Araştırmacı, tarayıcıda sahte dosya okçuları görüntüleyen, MFA'yı atlamak için VNC'yi ve fidye yazılımı çeteleri tarafından istismar edilen ve buhar kimlik bilgilerini çalmak için kötü şöhretli tarayıcı kullanan önceki kimlik avı araç setleri ile bilinir.
Bu yeni PWA kimlik avı yöntemi, uygulamayı yüklemek için hedef almak için daha ikna edici gerektirse de, gelecekte bir noktada bu tekniği kullanan tehdit aktörlerini bulursak şaşırtıcı olmayacak.
Ne yazık ki, hiçbir mevcut grup politikası ilerici web uygulamalarının yüklenmesini engelleyemez, mevcut politikalar yalnızca belirli uzantı kimliklerini veya belirli URL'lere erişimi yasaklamanıza izin verir.
2018 yılında, Kore İleri Bilim ve Teknoloji Enstitüsü'nden (Kaist) araştırmacılar, ilerici web uygulamalarını ve potansiyel güvenlik risklerini araştıran bir makale yayınladılar.
PWA kimlik avı kitinin bir gösterimi aşağıda görülebilir.
Warmcookie Windows Backdoor sahte iş teklifleri aracılığıyla itildi
Gitloker, Kötü niyetli OAuth uygulamalarını zorlamak için Github Bildirimleri Kötüye Kullanım Saldırılar
Apple, iPhone'lar için yeni 'Parola' Şifre Yöneticisi Uygulamasını Açıklayacak
Neden (ve nasıl) tehdit aktörleri Active Directory'nizi hedefliyor?
Yeni V3b Kimlik Avı Kiti 54 Avrupa bankasının müşterilerini hedefliyor
Kaynak: Bleeping Computer