La nouvelle attaque du navigateur dans le navigateur (BITB) rend le phishing presque indétectable

Navegador en el navegador Des nouvelles

Une nouvelle technique de phishing appelée attaque de navigateur dans le navigateur (BitB) peut être exploitée pour simuler une fenêtre de navigateur dans le navigateur afin d’usurper un domaine légitime, permettant ainsi de mettre en scène des attaques de phishing convaincantes.

Selon un testeur d’intrusion et un chercheur en sécurité, qui passe par la poignée mrd0x sur Twitter, la méthode tire parti de l’authentification unique tierce (authentification unique) des options intégrées sur des sites Web telles que « Se connecter avec Google » (ou Facebook, Apple ou Microsoft).

Alors que le comportement par défaut lorsqu’un utilisateur tente de se connecter via ces méthodes est d’être accueilli par une fenêtre contextuelle pour terminer le processus d’authentification, l’attaque BitB vise à reproduire l’ensemble de ce processus en utilisant un mélange de code HTML et CSS pour créer un fenêtre de navigateur entièrement fabriquée.

Navigateur dans le navigateur

« Combinez la conception de la fenêtre avec une iframe pointant vers le serveur malveillant hébergeant la page de phishing, et c’est fondamentalement impossible à distinguer », mrd0x mentionné dans un article technique publié la semaine dernière. « JavaScript peut être facilement utilisé pour faire apparaître la fenêtre sur un lien ou un clic sur un bouton, sur le chargement de la page, etc. »

Fait intéressant, la technique a été abusée dans la nature au moins une fois auparavant. En février 2020, Zscaler divulgué détails d’une campagne qui a tiré parti de l’astuce BitB pour siphonner les informations d’identification du service de distribution numérique de jeux vidéo Steam au moyen de faux sites Web Counter-Strike: Global Offensive (CS: GO).

« Normalement, les mesures prises par un utilisateur pour détecter un site de phishing incluent la vérification pour voir si l’URL est légitime, si le site Web utilise HTTPS et s’il existe une sorte d’homographe dans le domaine, entre autres », a déclaré Prakhar, chercheur chez Zscaler. dit Shrotriya à l’époque.

« Dans ce cas, tout semble bien car le domaine est steamcommunity[.]com, qui est légitime et utilise HTTPS. Mais lorsque nous essayons de faire glisser cette invite depuis la fenêtre actuellement utilisée, elle disparaît au-delà du bord de la fenêtre car il ne s’agit pas d’une fenêtre contextuelle de navigateur légitime et est créée à l’aide de HTML dans la fenêtre actuelle. »

Bien que cette méthode facilite considérablement le montage efficace campagnes d’ingénierie socialeil convient de noter que les victimes potentielles doivent être redirigées vers un domaine de phishing capable d’afficher une telle fausse fenêtre d’authentification pour la collecte d’informations d’identification.

« Mais une fois arrivé sur le site Web appartenant à l’attaquant, l’utilisateur sera à l’aise lorsqu’il saisira ses informations d’identification sur ce qui semble être le site Web légitime (parce que l’URL de confiance le dit) », a ajouté mrd0x.

David
Rate author
Hackarizona