Os hackers encontraram uma nova maneira sorrateira de roubar seu login, mesmo quando é criptografado – eis como eles estão fazendo isso
- Ignora gateways de e -mail e ferramentas de segurança, nunca atingindo um servidor real
- Blob Uris significa que o conteúdo de phishing não está hospedado online, então os filtros nunca o veem chegando
- Sem URLs estranhos, sem domínios desonestos, apenas roubo silencioso de uma página de login da Microsoft falsa
Os pesquisadores de segurança descobriram uma série de campanhas de phishing que usam uma técnica raramente explorada para roubar credenciais de login, mesmo quando essas credenciais são protegidas pela criptografia.
Novas pesquisas da Cofense alertam que o método depende do BLOB Uris, um recurso do navegador projetado para exibir conteúdo local temporário, e os cibercriminosos agora estão abusando desse recurso para fornecer páginas de phishing.
Os URIs do blob são criados e acessados inteiramente dentro do navegador de um usuário, o que significa que o conteúdo de phishing nunca existe em um servidor público. Isso torna extremamente difícil para os sistemas de proteção de terminais mais avançados para detectar.
Uma técnica oculta que passa as defesas passadas
Nessas campanhas, o processo de phishing começa com um email que ignora facilmente os gateways de e -mail seguros (SEGs). Esses e -mails normalmente contêm um link para o que parece ser uma página legítima, geralmente hospedada em domínios confiáveis, como o OneDrive da Microsoft.
No entanto, esta página inicial não hospeda diretamente o conteúdo de phishing. Em vez disso, ele atua como um intermediário, carregando silenciosamente um arquivo HTML controlado por ator ameaçador que se decodifica em um Uri Blob.
O resultado é uma página de login falsa renderizada no navegador da vítima, projetada para imitar de perto o portal de inscrição da Microsoft.
Para a vítima, nada parece deslocado – nenhum URLs estranho ou sinais óbvios de fraude – apenas um aviso para fazer login para visualizar uma mensagem segura ou acessar um documento. Depois de clicar em ‘login’, a página redireciona para outro arquivo HTML controlado pelo atacante, que gera um Uri Blob local que exibe a página de login falsificada.
Como os URIs do blob operam inteiramente dentro da memória do navegador e são inacessíveis de fora da sessão, as ferramentas de segurança tradicionais não conseguem digitalizar ou bloquear o conteúdo.
“Esse método torna a detecção e a análise especialmente complicadas”, disse Jacob Malimban, da Cofense Intelligence Team.
“A página de phishing é criada e renderizada localmente usando um Uri Blob. Ela não é hospedada on -line, por isso não pode ser digitalizada ou bloqueada da maneira usual.”
As credenciais inseridas na página falsificada são silenciosamente exfiltradas a um endpoint de ator de ameaça remoto, deixando a vítima inconsciente.
Os filtros de segurança baseados em IA também lutam para capturar esses ataques, pois os URIs do BLOB raramente são usados maliciosamente e podem não estar bem representados nos dados de treinamento. Os pesquisadores alertam que, a menos que os métodos de detecção evoluam, é provável que essa técnica ganhe força entre os atacantes.
Para se defender contra tais ameaças, as organizações devem adotar soluções avançadas de firewall-como serviço (FWAAS) e zero acesso à rede de confiança (ZTNA) que podem ajudar a garantir o acesso e sinalizar a atividade de login suspeita.
