Nuevo kit de herramientas de phishing utiliza PWA para robar credenciales

Iniciado por AXCESS, Junio 12, 2024, 11:55:58 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 12, 2024, 11:55:58 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se ha lanzado un nuevo kit de phishing que permite a los Red Teamers y a los ciberdelincuentes crear Aplicaciones Web Progresivas (PWA) que muestran formularios de inicio de sesión corporativos convincentes para robar credenciales.

Una PWA es una aplicación basada en web creada con HTML, CSS y JavaScript que se puede instalar desde un sitio web como una aplicación de escritorio normal. Una vez instalado, el sistema operativo creará un acceso directo a PWA y lo agregará a Agregar o quitar programas en Windows y en la carpeta /Usuarios/<cuenta>/Aplicaciones/ en macOS.

Cuando se inicia, una Aplicaciones Web Progresivas se ejecutará en el navegador desde el que SE instaló, pero se mostrará como una aplicación de escritorio con todos los controles estándar del navegador ocultos.

Muchos sitios web utilizan una PWA para ofrecer una experiencia de aplicación de escritorio, incluidos X, Instagram, Facebook y TikTok.

X incitando a los visitantes a instalar su PWA
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Cuando el visitante hace clic en el botón de instalación, el navegador instalará la PWA y la agregará al sistema operativo, y Windows le preguntará si desea crear un acceso directo en la barra de tareas.

Sin embargo, cuando la PWA se inicia automáticamente, le pedirá al usuario que ingrese sus credenciales para iniciar sesión, ya sean, por ejemplo, para un producto VPN, Microsoft, AWS o credenciales de una tienda en línea.

Esta técnica se destaca porque mr.d0x ilustra cómo se puede integrar una barra de direcciones falsa que contiene una URL falsa en la PWA, similar a cómo se hizo en la técnica Navegador en el navegador. Esto hará que el formulario de inicio de sesión parezca más legítimo para el objetivo.

PWA que muestra un formulario de inicio de sesión falso de Microsoft
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El investigador ha publicado las plantillas de phishing PWA en GitHub, lo que permite a cualquiera probarlas o modificarlas para sus propios escenarios:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"Los usuarios que no utilizan PWA a menudo pueden ser más sospechosos ante esta técnica, ya que es posible que no sepan que las PWA no deben tener una barra de URL. Aunque Chrome parece haber tomado medidas contra esto al mostrar periódicamente el dominio real en la barra de título, Creo que los hábitos de la gente de "comprobar la URL" harán que esa medida sea menos útil.

Además, ¿cuántos programas de concientización sobre seguridad mencionan hoy el phishing de PWA? Sólo puedo hablar por experiencia personal y no he visto empresas mencionar esto en sus capacitaciones. La falta de familiaridad con las PWA y el peligro que pueden representar podrían hacer que esta técnica sea más efectiva.

Puedo ver que los atacantes utilizan esta técnica para solicitar a los usuarios que instalen un software y luego, en la ventana de PWA, ocurre el phishing. Esto se demostró en el vídeo de demostración que proporcioné.

Finalmente, una cosa a tener en cuenta es que Windows solicita activamente al usuario que fije la PWA a la barra de tareas. La próxima vez que se abra la ventana, se abrirá automáticamente la URL mencionada en el parámetro "start_url" en el archivo de manifiesto. Esto puede hacer que el usuario fije la PWA y la use más de una vez, proporcionando al atacante más resultados". ❖ mr.d0x


El investigador es conocido por sus kits de herramientas de phishing anteriores que muestran archivadores de archivos falsos en el navegador, usan VNC para evitar MFA y el notorio navegador en las plantillas del navegador, que han sido abusados por bandas de ransomware y para robar credenciales de Steam.

Si bien este nuevo método de phishing PWA requerirá más convicción para lograr que los objetivos instalen la aplicación, no será sorprendente si encontramos actores de amenazas que utilicen esta técnica en algún momento en el futuro.

Desafortunadamente, ninguna política de grupo existente puede impedir la instalación de aplicaciones web progresivas, y las políticas existentes solo le permiten prohibir ID de extensión específicas o el acceso a URL específicas.

En 2018, investigadores del Instituto Avanzado de Ciencia y Tecnología de Corea (KAIST) publicaron un artículo que investiga las aplicaciones web progresivas y sus posibles riesgos de seguridad.

A continuación, se puede ver una demostración del kit de phishing PWA:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario