En lo que es una nueva técnica de phishing, se ha demostrado que se puede abusar de la función Modo de aplicación en los navegadores web basados en Chromium para crear «aplicaciones de phishing de escritorio realistas».
El modo de aplicación está diseñado para ofrecer experiencias similares a las nativas de una manera que hace que el sitio web se inicie en una ventana de navegador separada, al mismo tiempo que muestra el ícono de favoritos del sitio web y oculta la barra de direcciones.
Según el investigador de seguridad mr.d0x, quien también ideó el método de ataque del navegador en el navegador (BitB) a principios de este año, un mal actor puede aprovechar este comportamiento para recurrir a algunos trucos de HTML/CSS y mostrar una barra de direcciones falsa en parte superior de la ventana y engañar a los usuarios para que revelen sus credenciales en formularios de inicio de sesión no autorizados.
«Aunque esta técnica está destinada más al phishing interno, técnicamente aún puede usarla en un escenario de phishing externo», mr.d0x dijo. «Puede entregar estas aplicaciones falsas de forma independiente como archivos».
Esto se logra configurando una página de phishing con una barra de dirección falsa en la parte superior y configurando el –parámetro de la aplicación para apuntar al sitio de phishing que aloja la página.
Además de eso, el sitio de phishing controlado por el atacante puede utilizar JavaScript para realizar más acciones, como cerrar la ventana inmediatamente después de que el usuario ingrese las credenciales o cambiar su tamaño y posicionamiento para lograr el efecto deseado.
Vale la pena señalar que el mecanismo funciona en otros sistemas operativos, como macOS y Linux, lo que lo convierte en una posible amenaza multiplataforma. Sin embargo, el éxito del ataque se basa en el hecho de que el atacante ya tiene acceso a la máquina del objetivo.
Dicho esto, Google es Eliminación gradual soporte para aplicaciones Chrome a favor de Progressive Web Apps (PWA) y tecnologías estándar web, y se espera que la función se suspenda por completo en Chrome 109 o posterior en Windows, macOS y Linux.
Los hallazgos se presentan como nuevos hallazgos Trustwave SpiderLabs mostrar que los ataques de contrabando de HTML son una ocurrencia común, con archivos .HTML (11,39 %) y .HTM (2,7 %) que representan el segundo tipo de archivo adjunto con más spam después de las imágenes .JPG (25,29 %).