Легитимный инструмент позволяет создать поддельную форму входа с гибкими настройками.
https://www.securitylab.ru/upload/ib...nsl68qmmij.png
Новый метод фишинга с использованием функции Chrome Application Mode позволяет злоумышленнику создавать фишинговые формы входа в систему, которые трудно отличить от обычной страницы входа , что упрощает кражу учетных данных. Функция Application Mode доступна во всех браузерах на базе Chromium, включая Google Chrome, Microsoft Edge и Brave Browser.
Chrome Application Mode позволяет создавать веб-приложения с внешним видом рабочего стола, подходящим для ChromeOS. Режим приложения позволяет веб-сайтам запускаться в отдельном окне, в котором не отображается строка URL-адреса и панели инструментов браузера, а на панели задач Windows отображается значок веб-сайта вместо значка Chrome.
Это позволяет киберпреступнику создавать поддельные формы входа в систему на рабочем столе и совершить скрытую фишинговую атаку.
https://www.securitylab.ru/upload/im...t-img(538).png
Gmail в режиме приложения
Чтобы провести атаку с использованием этого метода, злоумышленник должен сначала убедить пользователя запустить ярлык Windows, который запускает фишинговый URL-адрес с помощью функции Chromium App Mode.
Одним из наиболее часто используемых методов является отправка по электронной почте LNK ярлыков в ISO архивах для распространения QBot , BazarLoader , BumbleBee и других вредоносных программ. Кроме того, открытие браузера по фишинговому URL-адресу позволяет избежать обнаружения средствами безопасности, установленных на компьютере жертвы.
С браузером Microsoft Edge, который установлен в Windows по умолчанию, проводить эти атаки стало проще, поскольку хакер может просто распространять ярлыки Windows, запускающие Microsoft Edge.
https://www.securitylab.ru/upload/im...t-img(539).png
Ярлык, замаскированный под документ Word
По словам исследователя кибербезопасности mr.d0x, используя определнные команды, злоумышленник может создать ярлыки, которые запускают фишинговый апплет на компьютере цели.
Киберпреступник также может использовать HTML-файл, внедрив параметр «-app», чтобы указать на фишинговый сайт и распространить файлы среди целей.
https://www.securitylab.ru/upload/im...t-img(540).png
Фишинговая форма входа в Microsoft Teams в режиме приложения Chrome
В зависимости от варианта использования злоумышленник также может использовать метод «браузер в браузере» ( browser-in-the-browser, BitB ), чтобы вставить поддельную адресную строку, и создав клоны ПО. mr.d0x также утверждает, что можно запустить атаку на macOS и Linux, используя соответствующие команды для этих операционных систем.
Фишинговое окно также может получать команды через JavaScript, например:<ul><li>окно может закрыться сразу после того, как пользователь введет свои учетные данные для входа;</li>
</ul><ul><li>окно может менять свой размер или отображаться в определенной позиции на экране.</li>
</ul>Возможности атаки ограничены из-за того, что Chrome Application Mode должен быть запущен локально на устройстве. Это предполагает, что устройство уже должно быть скомпрометировано злоумышленником.