Новый умный метод фишинга использует приложения Microsoft Edge WebView2 для кражи файлов cookie аутентификации жертвы, позволяя злоумышленникам обойти многофакторную аутентификацию при входе.
С большим количеством утечек данных, троянских атак удаленного доступа и фишинговых кампаний украденные учетные данные для входа стали в изобилии появляться в Даркнете.
Однако все более широкое внедрение многофакторной проверки подлинности (MFA) затрудняет использование этих украденных учетных данных, если злоумышленник также не имеет доступа к одноразовым паролям или ключам безопасности MFA цели.
Это привело к тому, что злоумышленники придумали новые способы обхода MFA, включая уязвимости веб-сайтов нулевого дня, обратные прокси-серверы и умные методы, такие как атака «Браузер в браузере» и использование VNC для локального отображения удаленных браузеров.
На этой неделе исследователь кибербезопасности mr.d0x создал новый метод фишинга (с целю изучения, естественно), который использует приложения Microsoft Edge WebView2 для легкой кражи файлов cookie аутентификации пользователя и входа в украденные учетные записи, даже если они защищены MFA.
Microsoft Edge WebView2 на помощь
Эта новая атака из раздела социальной инженерии называется WebView2-Cookie-Stealer и состоит из исполняемого файла WebView2, который при запуске открывает легальную форму входа на веб-сайт внутри приложения.
Microsoft Edge WebView2 позволяет внедрять веб-браузер с полной поддержкой HTML, CSS и JavaScript непосредственно в собственные приложения, используя Microsoft Edge (Chromium) в качестве модуля отрисовки.
Используя эту технологию, утилиты могут загружать любой веб-сайт в собственное приложение и отображать его так, как если бы вы открыли его в Microsoft Edge.
Тем не менее, WebView2 также позволяет разработчику напрямую получать доступ к файлам cookie и внедрять JavaScript на веб-страницу, загружаемую приложением, что делает его отличным инструментом для регистрации нажатий клавиш и кражи файлов cookie аутентификации, а затем отправки их на удаленный сервер.
В новой атаке, разработанной mr.d0x, исполняемый файл proof-of-concept открывает легальную форму входа Microsoft с помощью встроенного элемента управления WebView2.
Как вы можете видеть ниже, форма входа в систему отображается точно так же, как и при использовании обычного браузера, и не содержит никаких подозрительных элементов, таких как опечатки, странные доменные имена и т. п.
Поскольку приложение WebView2 может внедрять JavaScript на страницу, все, что вводит пользователь, автоматически отправляется обратно на веб-сервер злоумышленника.
Однако истинной силой этого типа приложений является возможность кражи любых файлов cookie, отправленных удаленным сервером после входа пользователя в систему, включая файлы cookie аутентификации.
mr.d0x говорит, что приложение создает папку Chromium User Data при первом запуске, а затем использует эту папку для каждой последующей установки.
Затем вредоносное приложение использует встроенный интерфейс WebView2 'ICoreWebView2CookieManager' для экспорта файлов cookie сайта при успешной аутентификации и отправляет их обратно на сервер, контролируемый злоумышленником, как показано ниже.
Как только злоумышленник расшифрует файлы cookie в кодировке base64, он получит полный доступ к файлам cookie аутентификации для сайта и сможет использовать их для входа в учетную запись пользователя.
mr.d0x также обнаружил, что можно использовать приложение WebView2 для кражи файлов cookie у существующего профиля пользователя Chrome, скопировав его профиль в Chromium.
«WebView2 можно использовать для кражи всех доступных файлов cookie для текущего пользователя. Что и было успешно протестировано на Chrome», — говорится в отчете об этой технике фишинга mr.d0x.
«WebView2 позволяет запускать с существующей папкой пользовательских данных (UDF), а не создавать новую. UDF содержит все пароли, сеансы, закладки и т.д. UDF Chrome находится по адресу C:\Users\\AppData\Local\Google\Chrome\User Data."
«Мы можем просто сказать WebView2, чтобы он запустил экземпляр с помощью этого профиля, а при запуске извлек все файлы cookie и передал их на сервер злоумышленника».
А как злоумышленник может использовать эти файлы cookie?
mr.d0x утверждает, что злодеи могут перейти в форму входа для учетной записи, которую они украли, и импортировать файлы cookie с помощью расширения Chrome, такого как «EditThisCookie». После импорта файлов cookie они просто обновляют страницу для автоматической аутентификации на сайте.
Что еще более тревожно, так это то, что эта атака также обходит MFA, защищенную OTP или ключами безопасности, поскольку файлы cookie украдены после того, как пользователь вошел в систему и успешно решил свою проблему многофакторной аутентификации.
«Итак, предположим, что злоумышленник настраивает Github.com/login в своем приложении webview2, и пользователь входит в систему, а затем файлы cookie могут быть извлечены и отправлены на сервер злоумышленника».«Yubikeys не может спасти вас, потому что вы аутентифицируетесь на РЕАЛЬНОМ веб-сайте, а не на фишинговом веб-сайте».
— mr.d0x
Кроме того, эти файлы cookie будут действительны до истечения сеанса или до тех пор, пока не будет проведена какая-либо другая проверка после аутентификации, которая обнаруживает необычное поведение.
«Поэтому, если у них не будет некоторых дополнительных проверок POST-AUTHENTICATION, то это не будет обнаружено, и, конечно, это не так легко реализовать»,
— mr.d0x
Атака требует социальной инженерии
Однако, как утверждает сам создатель умного метода, а корпорация Microsoft это подтверждает — эта атака является атакой социальной инженерии и требует от пользователя начального запуска вредоносного исполняемого файла.
«Этот метод социальной инженерии требует, чтобы злоумышленник убедил пользователя загрузить и запустить вредоносное приложение».
«Мы рекомендуем пользователям практиковать безопасные вычислительные привычки, избегать запуска или установки приложений из неизвестных или ненадежных источников и поддерживать Microsoft Defender (или другое антивредоносное программное обеспечение) работающим и актуальным».
— Microsoft
Ну а для того, чтобы заставить кого-то вначале запустить зловреда на системе у хакеров уже есть уловки с использованием различных методов.
С учетом того, что многие люди «просто жмакают на клавиши», не думая о последствиях, будь то вложения электронной почты, случайные загрузки из Интернета, крякнутное ПО и варезы всех видов, включая игровые читы, внедрение зловредного ПО просто дело времени...
Таким образом, атака WebView2 вполне возможна, особенно если она создана и выглядит как легальный установщик приложения, который требует, чтобы вы сначала вошли в систему. Например, поддельный установщик Microsoft Office. (Привет любителям варезных версий программных продуктов Microsoft)
Хотя этот метод пока не использовался в реальных атаках, пойти по "стопам" исследователя mr.d0x и быстро на коленках состряпать подобную уловку для профессиональных киберпреступников не составит труда.
Что касается того, как защитить себя от этих атак, все регулярные советы по кибербезопасности остаются прежними.
- не открывайте неизвестные вложения, особенно если они являются исполняемыми файлами
- сканируйте файлы, которые вы загружаете из Интернета
- не вводите свои учетные данные в приложение, если вы не уверены на 100%, что программа является легальной.