Фишинговая атака использует Blob URI для показа поддельных страниц входа в вашем браузере

Cofense Intelligence раскрывает новую технику фишинга с использованием blob URI для создания локальных поддельных страниц входа, обхода защиты электронной почты и кражи учетных данных.

Исследователи кибербезопасности из Cofense Intelligence сообщили о новом и все более эффективном методе, который киберпреступники используют для доставки страниц фишинга учетных данных непосредственно в почтовые ящики пользователей. Этот метод, появившийся в середине 2022 года, использует «BLOB URI» (двоичные большие объекты — унифицированные идентификаторы ресурсов).

Для вашего сведения, Blob URI — это адреса, которые указывают на временные данные, сохраненные вашим интернет-браузером на вашем компьютере. Они имеют законные приложения в Интернете, например, как YouTube временно хранит видеоданные в браузере пользователя для воспроизведения.

Ключевой характеристикой blob URI является их локализованная природа; то есть blob URI, созданный одним браузером, не может быть доступен никакому другому, даже на том же устройстве. Эта неотъемлемая функция конфиденциальности, хотя и полезна для законных веб-функций, была использована злоумышленниками для вредоносных целей.

Согласно анализу Cofense Intelligence, предоставленному Hackread.com, поскольку данные Blob URI отсутствуют в обычном Интернете, системы безопасности, проверяющие электронную почту, не могут легко обнаружить вредоносные поддельные страницы входа.

Поэтому, когда вы получаете фишинговое письмо, ссылка не ведет прямо на поддельный веб-сайт. Вместо этого она часто перенаправляет вас на настоящий веб-сайт, которому доверяют программы безопасности, например, OneDrive от Microsoft. Оттуда вы попадаете на скрытую веб-страницу, контролируемую злоумышленником.

Эта скрытая страница затем использует blob URI для создания поддельной страницы входа прямо в вашем браузере. Даже если эта страница сохраняется только на вашем компьютере, она все равно может украсть ваше имя пользователя и пароль и отправить их хакерам.

Это представляет собой проблему для автоматизированных систем безопасности, в частности, шлюзов безопасной электронной почты (SEG), которые анализируют содержимое веб-сайтов для выявления попыток фишинга, отметили исследователи. Новизна фишинговых атак с использованием blob URI означает, что модели безопасности на базе ИИ могут быть еще недостаточно обучены различать законное и вредоносное использование.

Такое отсутствие распознавания образов в сочетании с распространенной тактикой злоумышленников, заключающейся в использовании множественных перенаправлений, усложняет автоматическое обнаружение и увеличивает вероятность обхода безопасности фишинговыми письмами.

Cofense Intelligence наблюдала многочисленные фишинговые кампании, использующие эту технику blob URI, с приманками, разработанными для того, чтобы обманом заставить пользователей войти в поддельные версии знакомых сервисов, таких как OneDrive. Эти приманки включают уведомления о зашифрованных сообщениях, запросы на доступ к налоговым счетам Intuit и оповещения от финансовых учреждений. Несмотря на различные первоначальные предлоги, общий поток атак остается последовательным.

Исследователи предупреждают, что этот тип фишинга может стать более распространенным, поскольку он хорошо обходит систему безопасности. Поэтому важно быть осторожным со ссылками в электронных письмах, даже если они выглядят так, будто ведут на реальные веб-сайты, и всегда дважды проверять, прежде чем вводить данные для входа. Наличие « blob:http:// » или « blob:https:// » в адресе веб-сайта может быть признаком этого нового трюка.