Dans ce qui est une nouvelle technique de phishing, il a été démontré que la fonction Application Mode des navigateurs Web basés sur Chromium peut être utilisée de manière abusive pour créer des « applications de phishing de bureau réalistes ».
Le mode Application est conçu pour offrir des expériences de type natif de manière à ce que le site Web soit lancé dans une fenêtre de navigateur distincte, tout en affichant le favicon du site Web et en masquant la barre d’adresse.
Selon le chercheur en sécurité mr.d0x – qui a également conçu la méthode d’attaque du navigateur dans le navigateur (BitB) plus tôt cette année – un acteur malveillant peut tirer parti de ce comportement pour recourir à des ruses HTML/CSS et afficher une fausse barre d’adresse sur en haut de la fenêtre et inciter les utilisateurs à donner leurs informations d’identification sur des formulaires de connexion malveillants.
« Bien que cette technique soit davantage destinée au phishing interne, vous pouvez techniquement toujours l’utiliser dans un scénario de phishing externe », mr.d0x a dit. « Vous pouvez fournir ces fausses applications indépendamment sous forme de fichiers. »
Ceci est réalisé en configurant une page de phishing avec une fausse barre d’adresse en haut, et en configurant le paramètre –app pointer vers le site de phishing hébergeant la page.
En plus de cela, le site de phishing contrôlé par l’attaquant peut utiliser JavaScript pour prendre plus d’actions, comme fermer la fenêtre immédiatement après que l’utilisateur a saisi les informations d’identification ou la redimensionner et la positionner pour obtenir l’effet souhaité.
Il convient de noter que le mécanisme fonctionne sur d’autres systèmes d’exploitation, tels que macOS et Linux, ce qui en fait une menace potentielle multiplateforme. Cependant, le succès de l’attaque repose sur le fait que l’attaquant a déjà accès à la machine de la cible.
Cela dit, Google est suppression progressive prise en charge des applications Chrome au profit des applications Web progressives (PWA) et des technologies Web standard, et la fonctionnalité devrait être complètement supprimée dans Chrome 109 ou version ultérieure sur Windows, macOS et Linux.
Les résultats viennent comme de nouvelles découvertes Trustwave SpiderLabs Afficher que les attaques de contrebande HTML sont courantes, les fichiers .HTML (11,39 %) et .HTM (2,7 %) représentant le deuxième type de pièce jointe le plus spammé après les images .JPG (25,29 %).