Κυκλοφόρησε ένα νέο κιτ ηλεκτρονικού “ψαρέματος” που επιτρέπει στους συνεργάτες της ομάδας και στους εγκληματίες του κυβερνοχώρου να δημιουργούν προοδευτικές εφαρμογές ιστού (PWA) που εμφανίζουν πειστικές φόρμες εταιρικής σύνδεσης για να κλέψουν διαπιστευτήρια.
Το PWA είναι μια εφαρμογή που βασίζεται στον ιστό που δημιουργήθηκε με χρήση HTML, CSS και JavaScript και μπορεί να εγκατασταθεί από έναν ιστότοπο όπως μια κανονική εφαρμογή επιφάνειας εργασίας. Μόλις εγκατασταθεί, το λειτουργικό σύστημα θα δημιουργήσει μια συντόμευση PWA και θα την προσθέσει στην Προσθήκη ή Αφαίρεση Προγραμμάτων στα Windows και κάτω από το /Users/
φάκελο /Applications/ στο macOS.
Κατά την εκκίνηση, μια προοδευτική εφαρμογή Ιστού θα εκτελείται στο πρόγραμμα περιήγησης από το οποίο την εγκαταστήσατε, αλλά θα εμφανίζεται ως εφαρμογή επιτραπέζιου υπολογιστή με όλα τα τυπικά στοιχεία ελέγχου του προγράμματος περιήγησης κρυμμένα.
Πολλοί ιστότοποι χρησιμοποιούν ένα PWA για να προσφέρουν μια εμπειρία εφαρμογής για υπολογιστές, συμπεριλαμβανομένων των
X
, Instagram,
Facebook
και TikTok.
X προτρέποντας τους επισκέπτες να εγκαταστήσουν το PWA του
Πηγή: BleepingComputer
Χρήση PWA για phish για διαπιστευτήρια
Μια νέα εργαλειοθήκη
phishing
που δημιουργήθηκε από ερευνητή
ασφάλεια
ς
mr.d0x
δείχνει τον τρόπο δημιουργίας εφαρμογών PWA για την εμφάνιση φορμών εταιρικής σύνδεσης, ακόμη και με μια ψεύτικη γραμμή διευθύνσεων που δείχνει την κανονική διεύθυνση URL εταιρικής σύνδεσης για να φαίνεται πιο πειστική.
“Τα PWA ενσωματώνονται καλύτερα στο λειτουργικό σύστημα (δηλαδή έχουν το δικό τους εικονίδιο εφαρμογής, μπορούν να προωθήσουν ειδοποιήσεις) και επομένως μπορούν να οδηγήσουν σε μεγαλύτερη αφοσίωση για ιστότοπους”, εξηγεί ο ερευνητής σε μια ανάρτηση ιστολογίου σχετικά με τη νέα εργαλειοθήκη.
“Το πρόβλημα με τα PWA είναι ότι ο χειρισμός της διεπαφής χρήστη για σκοπούς ηλεκτρονικού “ψαρέματος” είναι δυνατός, όπως θα εξερευνήσουμε σε αυτό το ιστολόγιο.”
Ενώ τα νέα
πρότυπα
ηλεκτρονικού ψαρέματος θα απαιτήσουν πειστικά για να πείσουν έναν χρήστη να εγκαταστήσει το PWA, υπάρχουν σενάρια όπου μπορεί να είναι ευκολότερο να το κάνει.
Είναι σύνηθες για τους φορείς απειλών να δημιουργούν ιστότοπους σχεδιασμένους να διανέμουν προγράμματα που εγκαθιστούν κακόβουλο λογισμικό, όπως είδαμε στο παρελθόν με ψεύτικους ιστότοπους NordVPN και ProtonVPN και πλαστά καθαριστικά υπολογιστών Windows.
Με παρόμοιο τρόπο, ένας παράγοντας απειλής μπορεί να δημιουργήσει ιστότοπους που προωθούν ψεύτικο λογισμικό ή εργαλεία απομακρυσμένης διαχείρισης που περιλαμβάνουν ένα κουμπί για την εγκατάσταση του λογισμικού του, όπως φαίνεται παρακάτω.
Ιστότοπος που δημιουργήθηκε για να προωθήσει το κακόβουλο PWA
Πηγή: mr.d0x
Όταν ο επισκέπτης κάνει κλικ στο κουμπί εγκατάστασης, το πρόγραμμα περιήγησης θα εγκαταστήσει το PWA και θα το προσθέσει στο λειτουργικό σύστημα, με τα Windows να σας ζητούν αν θέλετε να δημιουργήσετε μια συντόμευση στη γραμμή εργασιών.
Όταν, ωστόσο, εκκινηθεί αυτόματα το PWA, θα ζητήσει από τον χρήστη να εισαγάγει τα διαπιστευτήριά του για να συνδεθεί, είτε πρόκειται, για παράδειγμα, για προϊόν VPN, Microsoft, AWS ή διαπιστευτήρια ηλεκτρονικού καταστήματος.
Αυτή η τεχνική ξεχωρίζει επειδή το mr.d0x δείχνει πώς μπορείτε να ενσωματώσετε μια ψεύτικη γραμμή διευθύνσεων που περιέχει μια ψεύτικη διεύθυνση URL στο PWA, παρόμοια με το πώς έγινε στην τεχνική Browser-in-the-Browser. Αυτό θα κάνει τη φόρμα σύνδεσης να φαίνεται πιο νόμιμη στον στόχο.
Το PWA δείχνει μια ψεύτικη φόρμα σύνδεσης της Microsoft
Πηγή: mr.d0x
Ο ερευνητής κυκλοφόρησε τα πρότυπα phishing PWA
στο GitHub
επιτρέποντας σε οποιονδήποτε να τα δοκιμάσει ή να τα τροποποιήσει για τα δικά του σενάρια.
“Οι χρήστες που δεν χρησιμοποιούν συχνά PWA μπορεί να είναι πιο ύποπτοι για αυτήν την τεχνική καθώς μπορεί να αγνοούν ότι τα PWA δεν πρέπει να έχουν γραμμή URL. Παρόλο που το Chrome φαίνεται να έχει λάβει μέτρα εναντίον αυτού, εμφανίζοντας περιοδικά τον πραγματικό τομέα στη γραμμή τίτλου , νομίζω ότι οι συνήθειες των ανθρώπων να “ελέγχουν τη διεύθυνση URL” θα καταστήσουν αυτό το μέτρο λιγότερο χρήσιμο.
Επιπλέον, πόσα προγράμματα ευαισθητοποίησης για την ασφάλεια αναφέρουν σήμερα το PWA phishing; Μπορώ να μιλήσω μόνο από προσωπική εμπειρία και δεν έχω δει εταιρείες να το αναφέρουν αυτό στην εκπαίδευσή τους. Η έλλειψη εξοικείωσης με το PWA και ο κίνδυνος που μπορεί να προκαλέσουν μπορεί να καταστήσει αυτή την τεχνική πιο αποτελεσματική.
Μπορώ να δω αυτή την τεχνική να χρησιμοποιείται από εισβολείς για να ζητήσουν από τους χρήστες να εγκαταστήσουν ένα λογισμικό και, στη συνέχεια, στο παράθυρο PWA συμβαίνει το phishing. Αυτό αποδείχθηκε στο βίντεο επίδειξης που παρείχα.
Τέλος, ένα πράγμα που πρέπει να θυμάστε είναι ότι τα Windows ζητούν ενεργά από το χρήστη να καρφιτσώσει το PWA στη γραμμή εργασιών. Την επόμενη φορά που θα ανοίξει το παράθυρο, θα ανοίξει αυτόματα η διεύθυνση URL που αναφέρεται στην παράμετρο “start_url” στο αρχείο μανιφέστου. Αυτό μπορεί να κάνει τον χρήστη να καρφιτσώσει το PWA και να το χρησιμοποιήσει περισσότερες από μία φορές, παρέχοντας στον εισβολέα περισσότερα αποτελέσματα.”
❖ ο mr.d0x είπε στο BleepingComputer
Ο ερευνητής είναι γνωστός για τα προηγούμενα εργαλεία phishing του που εμφανίζουν πλαστά αρχεία αρχειοθέτησης στο πρόγραμμα περιήγησης, χρησιμοποιούν VNC για να παρακάμψουν το MFA και τα περιβόητα πρότυπα προγράμματος περιήγησης στο πρόγραμμα περιήγησης, τα οποία έχουν γίνει κατάχρηση από συμμορίες ransomware και για την κλοπή διαπιστευτηρίων Steam.
Ενώ αυτή η νέα μέθοδος phishing PWA θα απαιτήσει πιο πειστικά για να ληφθούν στόχοι για την εγκατάσταση της εφαρμογής, δεν θα εκπλήσσει αν βρούμε φορείς απειλών που χρησιμοποιούν αυτήν την τεχνική κάποια στιγμή στο μέλλον.
Δυστυχώς, καμία υπάρχουσα πολιτική ομάδας δεν μπορεί να εμποδίσει την εγκατάσταση προοδευτικών εφαρμογών ιστού, με τις υπάρχουσες πολιτικές να σας επιτρέπουν μόνο να απαγορεύσετε συγκεκριμένα αναγνωριστικά επεκτάσεων ή την πρόσβαση σε συγκεκριμένες διευθύνσεις URL.
κυκλοφόρησε ένα χαρτί
διερεύνηση προοδευτικών εφαρμογών ιστού και των πιθανών κινδύνων ασφαλείας τους.
Μια επίδειξη του κιτ phishing PWA μπορείτε να δείτε παρακάτω.
VIA:
bleepingcomputer.com
0