Los investigadores han descubierto que se puede abusar del modo de aplicación de Google Chrome para amenazas de phishing.
Utilizado para ofrecer a los usuarios de ChromeOS una interfaz limpia y mínima para ciertos sitios web como YouTube, cuando se inicia, el Modo de aplicación muestra una nueva ventana del navegador sin la barra de direcciones, las barras de herramientas u otros elementos familiares; incluso la barra de tareas muestra el icono de página del sitio web en lugar del icono de cromo.
Pero se puede abusar de este modo, descubrió el investigador de ciberseguridad mr.d0x. Si un atacante logra convencer a un usuario para que ejecute un acceso directo de Windows que ejecuta una URL de phishing con la función Modo de aplicación de Chromium, el usuario solo verá lo que parece ser el formulario de inicio de sesión para una aplicación. En realidad, sin embargo, sería una página de phishing que roba (se abre en una pestaña nueva) datos de inicio de sesión de las personas.
Archivos de acceso directo
Desde que Microsoft tomó medidas para eliminar los archivos de Office maliciosos, los ciberdelincuentes se han centrado en los archivos de acceso directo de Windows (.LNK).
Desde entonces, los expertos en seguridad cibernética han descubierto innumerables campañas de ataque que aprovecharon con éxito los archivos .LNK para entregar todo tipo de virus y malware, desde QBot hasta BazarLoader, y todo lo demás.
Al explicar este nuevo método potencial, mr.d0x dice que un atacante podría usar un archivo de acceso directo para iniciar un «applet» de phishing en el terminal de la víctima:
- Para cromo:
«C:Archivos de programaGoogleChromeApplicationchrome.exe» –app=https://example.com - para microsoft borde
«c:Archivos de programa (x86)MicrosoftEdgeApplicationmsedge.exe» –app=https://example.com
Hay múltiples formas de abusar de esta falla, agregó mr.d0x, incluido tener acceso al dispositivo de destino, usar un archivo HTML portátil con el parámetro «-app» incrustado o usar la técnica del navegador en el navegador para agregar un barra de direcciones falsa. Finalmente, el ataque también se puede realizar en dispositivos macOS y Linux, dijo.
Vía: BleepingComputer (se abre en una pestaña nueva)