O Modo de aplicativo do Chrome pode ser usado para phishing na área de trabalho

Imagem com anzol simulando o Phishing

Como sempre dizemos, os cibercriminosos estão sempre se especializando para manterem seus golpes. Agora, por exemplo, uma nova técnica de phishing usando o recurso Modo de aplicativo do Chrome permite que os agentes de ameaças exibam formulários de login locais que aparecem como aplicativos de desktop, facilitando o roubo de credenciais.

Recurso Modo de aplicativo, presente no Chrome e outros navegadores baseados em Chromium

O recurso Modo de aplicativo está disponível em todos os navegadores baseados no Chromium, incluindo Google Chrome, Microsoft Edge e Brave Browser

Esse recurso pode gerar telas de login de aparência realista que são difíceis de diferenciar de um prompt de login legítimo. Como os aplicativos de desktop geralmente são mais difíceis de falsificar, é menos provável que os usuários os tratem com a mesma cautela com que fazem com as janelas do navegador que são mais amplamente utilizadas para phishing.

O potencial para usar o modo de aplicativo do Chrome em ataques de phishing foi demonstrado pelo pesquisador mr.d0x (Via: Bleeping Computer), que também criou ataques “Browser-in-the-Browser” no início do ano. Vários atores de ameaças mais tarde usaram a técnica BiTB em ataques de phishing para roubar credenciais.

Recurso do Modo de aplicativo Chromium

O modo de aplicativo do Chrome permite que os desenvolvedores da Web criem aplicativos da Web com uma aparência de desktop nativa adequada para ChromeOS. Esse recurso permite que os sites sejam iniciados em uma janela separada que não exibe uma barra de endereço de URL, barras de ferramentas do navegador etc., enquanto a barra de tarefas do Windows exibe o favicon do site em vez do ícone do Chrome.

Isso pode permitir que os agentes de ameaças criem formulários de login falsos na área de trabalho e, se o usuário não estiver lançando esses “aplicativos” conscientemente, isso pode levar a ataques de phishing.

o-modo-de-aplicativo-do-chrome-pode-ser-usado-para-phishing-na-area-de-trabalho

Abusando do recurso

Para realizar um ataque usando a técnica, os agentes de ameaças devem primeiro convencer um usuário a executar um atalho do Windows que inicia um URL de phishing usando o recurso Modo Aplicativo do Chromium.

Depois que a Microsoft começou a desabilitar macros por padrão no Office, os agentes de ameaças mudaram para novos ataques de phishing que provaram ser muito bem-sucedidos. Um método comumente usado é enviar por e-mail atalhos do Windows (.LNK) em arquivos ISO para distribuir QBot, BazarLoader, BumbleBee e outros malwares.

No entanto, a instalação de malware é muito barulhenta e pode ser facilmente detectada pelo software de segurança em execução na máquina. Por outro lado, abrir um navegador para um novo URL de phishing será menos provável de ser detectado.