Μια νέα έξυπνη τεχνική ηλεκτρονικού “ψαρέματος” (phishing), χρησιμοποιεί εφαρμογές του Microsoft Edge WebView2 για να κλέψει τα cookies ελέγχου ταυτότητας των θυμάτων της. Με αυτό τον τρόπο οι κακόβουλοι χρήστες μπορούν να παρακάμπτουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων, όταν συνδέονται σε κλεμμένους λογαριασμούς.
Δείτε επίσης: Europol: Συνελήφθη phishing συμμορία που είχε κλέψει εκατομμύρια ευρώ
Η αυξανόμενη υιοθέτηση του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA), έχει καταστήσει δύσκολη τη χρήση των κλεμμένων διαπιστευτηρίων, εκτός εάν ο κακόβουλος παράγοντας έχει επίσης πρόσβαση στους κωδικούς πρόσβασης MFA ή στα κλειδιά ασφαλείας ενός στόχου.
Αυτό οδήγησε τους φορείς απειλών και τους ερευνητές να βρουν νέους τρόπους παράκαμψης του MFA, συμπεριλαμβανομένων ευπαθειών ιστότοπων zero-days, αντίστροφων διακομιστών μεσολάβησης και έξυπνων τεχνικών, όπως η επίθεση σε προγράμματα περιήγησης και η χρήση του VNC για την εμφάνιση απομακρυσμένων προγραμμάτων περιήγησης τοπικά.
Αυτή την εβδομάδα, ο ερευνητής κυβερνοασφάλειας mr.d0x δημιούργησε μια νέα μέθοδο phishing που χρησιμοποιεί εφαρμογές Microsoft Edge WebView2 για να κλέψει εύκολα cookies ελέγχου ταυτότητας ενός χρήστη και να συνδεθεί σε κλεμμένους λογαριασμούς, ακόμα κι αν είναι ασφαλισμένοι με MFA.
Αυτή η νέα επίθεση social engineering ονομάζεται WebView2-Cookie-Stealer και αποτελείται από ένα εκτελέσιμο αρχείο WebView2 που όταν εκκινηθεί, ανοίγει τη φόρμα σύνδεσης ενός νόμιμου ιστότοπου μέσα στην εφαρμογή.
Το Microsoft Edge WebView2, σάς επιτρέπει να ενσωματώσετε ένα πρόγραμμα περιήγησης ιστού, με πλήρη υποστήριξη για HTML, CSS και JavaScript, απευθείας στις εγγενείς εφαρμογές σας χρησιμοποιώντας το Microsoft Edge (Chromium), ως μηχανή απόδοσης.
Δείτε ακόμα: Μαζική καμπάνια phishing στο Facebook δημιουργεί εκατομμύρια
Χρησιμοποιώντας αυτήν την τεχνολογία, οι εφαρμογές μπορούν να φορτώσουν οποιονδήποτε ιστότοπο σε μια εγγενή εφαρμογή και να τον κάνουν να εμφανίζεται όπως θα τον ανοίγατε στον Microsoft Edge.
Ωστόσο, το WebView2 επιτρέπει επίσης σε έναν προγραμματιστή να έχει άμεση πρόσβαση σε cookies και να εισάγει JavaScript στην ιστοσελίδα που φορτώνεται από μια εφαρμογή, καθιστώντας το ένα εξαιρετικό εργαλείο για την καταγραφή των πληκτρολογήσεων και την κλοπή των cookies ελέγχου ταυτότητας και στη συνέχεια για αποστολή τους σε έναν απομακρυσμένο διακομιστή.
Στη νέα επίθεση από τον mr.d0x, το εκτελέσιμο αρχείο proof-of-concept θα ανοίξει τη νόμιμη φόρμα σύνδεσης της Microsoft χρησιμοποιώντας το ενσωματωμένο στοιχείο ελέγχου WebView2.
Καθώς μια εφαρμογή WebView2 μπορεί να εισάγει JavaScript στη σελίδα, οτιδήποτε πληκτρολογεί ο χρήστης αποστέλλεται αυτόματα πίσω στον διακομιστή Ιστού του εισβολέα.
Ωστόσο, η πραγματική δύναμη αυτού του τύπου εφαρμογής είναι η δυνατότητα κλοπής τυχόν cookies που αποστέλλονται από τον απομακρυσμένο διακομιστή μετά τη σύνδεση ενός χρήστη, συμπεριλαμβανομένων των cookies ελέγχου ταυτότητας.
Για να γίνει αυτό, ο mr.d0x είπε ότι η εφαρμογή δημιουργεί έναν φάκελο Chromium User Data την πρώτη φορά που εκτελείται και στη συνέχεια χρησιμοποιεί αυτόν τον φάκελο για κάθε επόμενη εγκατάσταση.
Δείτε επίσης: Phishing επιθέσεις: Άνοδο στην χρήση υπηρεσιών reverse tunnel και URL shortening
Στη συνέχεια, η κακόβουλη εφαρμογή χρησιμοποιεί την ενσωματωμένη διασύνδεση WebView2 ‘ICoreWebView2CookieManager‘ για να εξάγει τα cookies του ιστότοπου με επιτυχή έλεγχο ταυτότητας και τα στέλνει πίσω στο διακομιστή που ελέγχεται από τον εισβολέα
Μόλις ο εισβολέας αποκωδικοποιήσει τα cookies με κωδικοποίηση base64, θα έχει πλήρη πρόσβαση στα cookies ελέγχου ταυτότητας για τον ιστότοπο και θα μπορεί να τα χρησιμοποιήσει για να συνδεθεί στο λογαριασμό ενός χρήστη.
Ο ερευνητής διαπίστωσε επίσης ότι ήταν δυνατή η χρήση της εφαρμογής WebView2 για την κλοπή cookies για ένα υπάρχον προφίλ χρήστη του Chrome αντιγράφοντας το υπάρχον προφίλ του Chromium.
