Alerta “App Mode” en Chromium es utilizado para realizar Phishing
Se ha demostrado que se puede abusar de la función Application Mode en el navegador web Chrome (y otros navegadores basados en Chromium) para “crear aplicaciones de phishing de escritorio muy realistas”.
El “modo de aplicación” está diseñado para ofrecer experiencias similares a las nativas de una manera que hace que el sitio web se inicie en una ventana de navegador separada, al mismo tiempo que muestra el ícono de favoritos del sitio web y oculta la barra de direcciones.
Fuente del artículo: blog.segu-info
Según el investigador de seguridad mr.d0x, quien también ideó el método de ataque del navegador en el navegador (BitB) a principios de este año, un atacante puede aprovechar este comportamiento para recurrir a algunos trucos de HTML/CSS y mostrar una barra de direcciones falsa en parte superior de la ventana y engañar a los usuarios para que revelen sus credenciales en formularios de inicio de sesión no autorizados.
“Aunque esta técnica está destinada más al phishing interno, técnicamente aún puede usarla en un escenario de phishing externo”, dijo mr.d0x. “Puede entregar estas aplicaciones falsas de forma independiente como archivos”.
Esto se logra configurando una página de phishing con una barra de dirección falsa en la parte superior y configurando el parámetro –app para apuntar al sitio de phishing que aloja la página.
Además de eso, el sitio de phishing controlado por el atacante puede utilizar JavaScript para realizar más acciones, como cerrar la ventana inmediatamente después de que el usuario ingrese las credenciales o cambiar su tamaño y posicionamiento para lograr el efecto deseado.
Vale la pena señalar que el mecanismo funciona en otros sistemas operativos, como macOS y Linux, lo que lo convierte en una posible amenaza multiplataforma. Sin embargo, el éxito del ataque se basa en el hecho de que el atacante ya tiene acceso a la máquina del objetivo.
Dicho esto, Google está eliminando gradualmente la compatibilidad con las aplicaciones de Chrome en favor de las aplicaciones web progresivas (PWA) y las tecnologías estándar de la web, y se espera que la función se suspenda por completo en Chrome 109 o posterior en Windows, macOS y Linux.
En una declaración compartida con The Hacker News, Chrome dijo que “la función –app quedó obsoleta antes de que se publicara esta investigación, y estamos teniendo en cuenta su potencial de abuso al considerar su futuro”.
“Los usuarios deben ser conscientes de que ejecutar cualquier archivo proporcionado por un atacante es peligroso. Si bien la Navegación segura está habilitada de forma predeterminada en Chrome, los usuarios pueden querer habilitar la protección mejorada, que inspecciona la seguridad de tus descargas para advertirte mejor cuando un archivo puede ser peligroso”.
Los hallazgos se producen cuando los nuevos hallazgos de Trustwave SpiderLabs muestran que los ataques de contrabando de HTML son una ocurrencia común, con archivos .HTML (11,39%) y .HTM (2,7 %) que representan el segundo tipo de archivo adjunto más enviado como spam después de las imágenes .JPG (25,29 %).
Fuente del artículo: blog.segu-info
