Skip links

Novo kit de ferramentas de phishing usa PWAs para roubar credenciais de login

Foi lançado um novo kit de phishing que permite que equipes vermelhas e cibercriminosos criem aplicativos da web progressivos (PWAs) que exibem formulários de login corporativos convincentes para roubar credenciais.

Um PWA é um aplicativo baseado na web criado usando HTML, CSS e JavaScript que pode ser instalado a partir de um site como um aplicativo de desktop normal. Depois de instalado, o sistema operacional criará um atalho PWA e o adicionará a Adicionar ou remover programas no Windows e na pasta /Users/<account>/Applications/ no macOS.

Quando iniciado, um aplicativo da web progressivo será executado no navegador em que você o instalou, mas será exibido como um aplicativo de desktop com todos os controles padrão do navegador ocultos.

Muitos sites usam um PWA para oferecer uma experiência de aplicativo de desktop, incluindo X, Instagram, Facebook e TikTok.

Usando PWAs para obter credenciais

Um novo kit de ferramentas de phishing criado pelo pesquisador de segurança mr.d0x demonstra como criar aplicativos PWA para exibir formulários de login corporativos, mesmo com uma barra de endereço falsa mostrando o URL de login corporativo normal para torná-lo mais convincente.

“Os PWAs se integram melhor ao sistema operacional (ou seja, eles têm seu próprio ícone de aplicativo, podem enviar notificações) e, portanto, podem levar a um maior engajamento para sites”, explica o pesquisador em uma postagem no blog sobre o novo kit de ferramentas.

“O problema com os PWAs é que é possível manipular a interface do usuário para fins de phishing, conforme exploraremos neste blog.”

Embora os novos modelos de phishing exijam alguma persuasão para que um usuário instale o PWA, há cenários em que pode ser mais fácil fazê-lo.

É comum que os agentes de ameaças criem sites projetados para distribuir programas que instalam malware, como vimos no passado com sites falsos NordVPN e ProtonVPN e falsos limpadores de PC com Windows .

De maneira semelhante, um agente de ameaça pode criar sites que promovem software falso ou ferramentas de gerenciamento remoto que incluem um botão para instalar o software, conforme mostrado abaixo.

Site criado para enviar o PWA malicioso

Site criado para enviar o PWA malicioso
Fonte: mr.d0x

Quando o visitante clica no botão de instalação, o navegador irá instalar o PWA e adicioná-lo ao sistema operacional, com o Windows perguntando se você deseja criar um atalho na barra de tarefas.

Porém, quando o PWA é iniciado automaticamente, ele solicitará que o usuário insira suas credenciais para fazer login, sejam elas, por exemplo, para um produto VPN, Microsoft, AWS ou credenciais de loja online.

Essa técnica se destaca porque mr.d0x ilustra como você pode integrar uma barra de endereço falsa contendo uma URL falsa no PWA, semelhante a como foi feito na técnica Browser-in-the-Browser . Isso fará com que o formulário de login pareça mais legítimo para o alvo.

PWA mostrando um formulário de login falso da Microsoft

PWA mostrando um formulário de login falso da Microsoft
Fonte: mr.d0x

O pesquisador lançou os modelos de phishing PWA no GitHub , permitindo que qualquer pessoa os teste ou modifique para seus próprios cenários.

“Os usuários que não usam PWAs com frequência podem ser mais suscetíveis a essa técnica, pois podem não saber que os PWAs não deveriam ter uma barra de URL. Mesmo que o Chrome pareça ter tomado medidas contra isso, mostrando periodicamente o domínio real na barra de título , acho que os hábitos das pessoas de “verificar o URL” tornarão essa medida menos útil.

Além disso, quantos programas de conscientização sobre segurança mencionam hoje o phishing de PWA? Só posso falar por experiência própria e não vi empresas mencionarem isso em seus treinamentos. A falta de familiaridade com os PWA e o perigo que podem representar pode tornar esta técnica mais eficaz.

Posso ver essa técnica sendo usada por invasores para solicitar que os usuários instalem um software e então, na janela do PWA, ocorre o phishing. Isso foi demonstrado no vídeo de demonstração que forneci.

Por fim, uma coisa a ter em mente é que o Windows solicita ativamente ao usuário que fixe o PWA na barra de tarefas. Na próxima vez que a janela for aberta, ela abrirá automaticamente a URL mencionada no parâmetro “start_url” do arquivo de manifesto. Isso pode fazer com que o usuário fixe o PWA e o use mais de uma vez, fornecendo mais resultados ao invasor.”

❖ mr.d0x disse ao BleepingComputer

O pesquisador é conhecido por seus kits de ferramentas de phishing anteriores que exibem  arquivadores de arquivos falsos no navegador , usam VNC para contornar MFA e o notório navegador nos modelos de navegador, que foram abusados ​​​​por gangues de ransomware e para roubar credenciais do Steam .

Embora esse novo método de phishing PWA exija mais convencimento para que os alvos instalem o aplicativo, não será surpreendente se encontrarmos agentes de ameaças utilizando essa técnica em algum momento no futuro.

Infelizmente, nenhuma política de grupo existente pode impedir a instalação de aplicativos da web progressivos, com as políticas existentes permitindo apenas proibir IDs de extensão específicos ou acesso a URLs específicos.

Em 2018, pesquisadores do Instituto Avançado de Ciência e Tecnologia da Coreia (KAIST) publicaram um artigo investigando aplicativos web progressivos e seus potenciais riscos de segurança.

Uma demonstração do kit de phishing PWA pode ser vista abaixo.


Fonte: https://www.bleepingcomputer.com/

Acesse nosso Instagram

Acesse nosso LinkedIn

This website uses cookies to improve your web experience.