Un kit de phishing a été publié qui permet aux red teamers et aux cybercriminels en herbe de créer des formulaires de connexion de phishing à authentification unique efficaces à l’aide de fausses fenêtres de navigateur Chrome.
Lors de la connexion à des sites Web, il est courant de voir l’option de signer avec Google, Microsoft, Apple, Twitter ou même Steam.
Par exemple, le formulaire de connexion à DropBox vous permet de vous connecter à l’aide d’un compte Apple ou Google, comme indiqué ci-dessous.
Lorsque vous cliquez sur les boutons Se connecter à Google ou à l’application, une fenêtre de navigateur d’authentification unique (SSO) s’affiche, vous invitant à entrer vos informations d’identification et à vous connecter avec le compte.
Ces fenêtres sont dépouillées pour afficher uniquement le formulaire de connexion et une barre d’adresse indiquant l’URL du formulaire de connexion.
Bien que cette barre d’adresses soit désactivée dans ces fenêtres d’authentification unique, vous pouvez toujours utiliser l’URL affichée pour vérifier qu’un domaine google.com légitime est utilisé pour vous connecter au site. Cette URL ajoute à la confiance du formulaire et vous permettra de vous sentir à l’aise d’entrer vos identifiants de connexion.
Les acteurs de la menace ont tenté de créer ces fausses fenêtres SSO en utilisant HTML, CSS et JavaScript dans le passé, mais il y a généralement quelque chose d’un peu bizarre dans les fenêtres, ce qui les rend suspectes.
C’est là qu’une nouvelle « Attaque du navigateur dans le navigateur (BitB) » entre en jeu qui utilise des modèles prédéfinis pour créer des fenêtres contextuelles Chrome fausses mais réalistes qui incluent des URL d’adresse personnalisées et des titres pouvant être utilisés dans des attaques de phishing.
Fondamentalement, cette attaque crée de fausses fenêtres de navigateur dans de vraies fenêtres de navigateur (navigateur dans le navigateur) pour créer des attaques de phishing convaincantes.
Le navigateur dans les modèles d’attaque de navigateur était créé par le chercheur en sécurité mr.d0x, qui a publié les modèles le GitHub (en anglais). Ces modèles incluent ceux de Google Chrome pour Windows et Mac et des variantes de mode sombre et clair.
mr.d0x a déclaré à BleepingComputer que les modèles sont très simples à utiliser pour créer des fenêtres Chrome convaincantes pour afficher des formulaires de connexion d’authentification unique pour n’importe quelle plate-forme en ligne.
Le chercheur a déclaré que les redteamers pouvaient simplement télécharger les modèles, les modifier pour contenir l’URL et le titre de la fenêtre souhaités, puis utiliser un iframe pour afficher le formulaire de connexion.
Il est également possible d’ajouter le code HTML du formulaire de connexion directement dans le modèle, mais mr.d0x a dit à BleepingComputer que vous auriez besoin d’aligner correctement le formulaire en utilisant CSS et HTML.
Kuba Gretzky, le créateur de l’ Evilginx la boîte à outils de phishing, a testé la nouvelle méthode et a montré comment elle fonctionnait parfaitement avec la plate-forme Evilginx, ce qui signifie qu’elle pouvait être adaptée pour voler des clés 2FA lors d’attaques de phishing.
Usurper la valeur Sec-Fetch-Dest à proxy inversé en « document » a fonctionné comme un charme et c’est magnifique
Evilginx l’adore!
Encore bravo à @mrd0x pic.twitter.com/ODjblvNvho
— Kuba Gretzky (@mrgretzky) 15 mars 2022
mr.d0x a dit à BleepingComputer que ce n’est pas une nouvelle technique et que Zscaler a signalé qu’il était utilisé par de faux sites de jeux en 2020 pour voler des informations d’identification Steam.
Hein, on dirait que les escroqueries Steam évoluent. Quelqu’un a essayé de me phishing avec cette fausse page de connexion Steam vraiment intelligente plus tôt aujourd’hui, ce qui a surtout échoué parce que j’ai ouvert la fenêtre sur mon petit deuxième moniteur. Attention, tout le monde. pic.twitter.com/npGbmAqjgH
— TheAppleFreak (@theaaplfreak) janvier 5, 2020
Cependant, maintenant que des modèles prédéfinis pour les fausses fenêtres Chrome sont disponibles, les redteamers peuvent les utiliser pour créer des formulaires de connexion de phishing convaincants afin de tester la défense de leurs clients ou des employés de leur propre entreprise.
Pour ceux qui souhaitent essayer le nouveau navigateur dans l’attaque de phishing du navigateur, vous pouvez saisir le modèles de GitHub.
