Nevidljivi fišing napad u ''Režimu aplikacije'' veb pregledača

Vesti, 10.10.2022, 09:00 AM

Nevidljivi fišing napad u ''Režimu aplikacije'' veb pregledača

Istraživač bezbednosti mr.d0x, koji je postao poznat po metodu napada "pregledač u pregledaču" (BitB) koji je pokazao ranije ove godine, sada je demonstirao novu tehniku fišing napada u Režimu aplikacije u veb pregledačima zasnovanim na Chromiumu. Ovaj režim se može zloupotrebiti za kreiranje „realističnih aplikacija za fišing na računaru“.

Režim aplikacije pokreće veb sajt u zasebnom prozoru pregledača, prikazujući ikonicu veb sajta i sakrivajući adresnu traku.

Prema objašnjenju mr.d0xa, napadač može da prikaže lažnu adresnu traku na vrh prozora i prevari korisnike da unesu svoje podatke u lažne obrasce za prijavljivanje.

„Iako je ova tehnika više namenjena internom fišingu, tehnički je možete koristiti u scenariju spoljnog fišinga“, rekao je mr.d0x. „Ove lažne aplikacije možete isporučiti nezavisno kao fajlove.“

Fišing sajt koji kontroliše napadač može da zatvori prozor odmah nakon što korisnik unese akreditive ili promeni veličinu i pozicioniranje da bi se postigao željeni efekat.

Mehanizam napada osim na Windowsu, funkcioniše i na drugim operativnim sistemima, kao što su macOS i Linux, što ga čini potencijalnom pretnjom za više platformi. Međutim, uspeh napada zavisi od činjenice da napadač već ima pristup računaru mete.

Srećom, Google postepeno ukida podršku za Chrome aplikacije u korist progresivnih veb aplikacija (PWA) i tehnologija veb standarda, a očekuje se da će ova funkcija biti potpuno ukinuta u Chromeu 109 ili novijim verzijama za Windows, macOS i Linux.

Google je rekao da je „funkcija --app zastarela pre nego što je ovo istraživanje objavljeno“ i da treba uzeti u obzir njen potencijal za zloupotrebu u kontekstu njene budućnosti.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Zbog greške ChatGPT otkrio istoriju razgovora drugih ljudi korisnicima četbota

Zbog greške ChatGPT otkrio istoriju razgovora drugih ljudi korisnicima četbota

ChatGPT-ova funkcija istorije ćaskanja je trenutno nedostupna zbog baga koji je otkrio kratke opise razgovora drugih ljudi korisnicima AI četbota. ... Dalje

Hakovan Ferrari, kompanija odbija da plati napadačima za ukradene podatke kupaca

Hakovan Ferrari, kompanija odbija da plati napadačima za ukradene podatke kupaca

Italijanski proizvođač sportskih i trkačkih automobila Ferrari je hakovan, a napadači sada zahtevaju od kompanije da plati i tako spreči objavlji... Dalje

iPhone će biti zabranjen u Kremlju iz bezbednosnih razloga

iPhone će biti zabranjen u Kremlju iz bezbednosnih razloga

Zvaničnici uključeni u pripreme za ruske predsedničke izbore 2024. moraju da prestanu da koriste iPhone. To je, kako se izveštava, novi stav koji ... Dalje

Kaspersky objavio besplatni alat za dešifrovanje za žrtve jedne verzije zloglasnog ransomwarea Conti

Kaspersky objavio besplatni alat za dešifrovanje za žrtve jedne verzije zloglasnog ransomwarea Conti

Kaspersky je u četvrtak objavio alat za dešifrovanje koji bi mogao da pomogne žrtvama čiji su podaci zaključani jednom verzijom Conti ransomwarea... Dalje

Greška u Windowsovoj funkciji za zaštitu od fišinga i malvera se koristi za infekciju računara opasnim malverom

Greška u Windowsovoj funkciji za zaštitu od fišinga i malvera se koristi za infekciju računara opasnim malverom

Hakeri koriste ranije nedokumentovanu grešku u Microsoftovoj bezbednosnoj funkciji SmartScreen za širenje Magniber ransomwarea, upozorili su Googleo... Dalje