Um novo kit de phishing foi lançado, permitindo que equipes de red teams e hackers desenvolvam Progressive Web Applications (PWAs) que exibem formulários de login corporativos convincentes para roubar credenciais.
Os PWAs são aplicativos baseados na web, criados usando HTML, CSS e JavaScript, que podem ser instalados diretamente de um site como um aplicativo de desktop comum. Após a instalação, o sistema operacional cria um atalho para o PWA e o adiciona à lista de programas instalados no Windows e à pasta de Aplicações no macOS.
Uma vez iniciado, um PWA opera no navegador em que foi instalado, mas se apresenta como um aplicativo de desktop, ocultando todos os controles padrão do navegador. Diversos sites populares, como Twitter, Instagram, Facebook e TikTok, já utilizam PWAs para oferecer uma experiência semelhante à de um aplicativo de desktop.
X solicitando que os visitantes instalem seu PWA
O novo kit de ferramentas de phishing desenvolvido pelo hacker conhecido como mr.d0x demonstra como criar PWAs que exibem formulários de login corporativos falsos, até mesmo incluindo uma barra de endereço falsa que exibe o URL legítimo do login corporativo para aumentar a veracidade.
“Os PWAs se integram melhor ao sistema operacional, oferecendo ícones próprios e a capacidade de enviar notificações, o que pode aumentar o engajamento dos usuários,” explica mr.d0x em uma postagem no blog sobre o kit de ferramentas. “O problema é que essa integração pode ser manipulada para fins de phishing.”
Embora convencer um usuário a instalar um PWA possa exigir alguma persuasão, existem cenários onde isso pode ser feito com facilidade. Hackers frequentemente criam sites que distribuem programas maliciosos, como ocorreu no passado com versões falsas do NordVPN e ProtonVPN, além de limpadores de PC fraudulentos.
De maneira similar, um hacker pode criar sites que promovem software falso ou ferramentas de gerenciamento remoto, incluindo um botão para instalar o software. Quando o visitante clica no botão de instalação, o navegador instala o PWA e o adiciona ao sistema operacional, podendo até criar um atalho na barra de tarefas do Windows.
Site criado para enviar o PWA malicioso
Fonte: mr.d0x
Uma vez instalado, o PWA falso solicitará que o usuário insira suas credenciais para login, sejam elas para um serviço VPN, Microsoft, AWS ou outra plataforma. A técnica se destaca porque o kit de mr.d0x permite integrar uma barra de endereço falsa, similar à técnica Browser-in-the-Browser, fazendo com que o formulário de login pareça ainda mais legítimo.
PWA mostrando um formulário de login falso da Microsoft
Fonte: mr.d0x
O kit de phishing PWA está disponível no GitHub, permitindo que qualquer pessoa o teste ou modifique para seus próprios cenários. mr.d0x é conhecido por seus kits de phishing anteriores, que incluem técnicas como falsificação de arquivos no navegador e uso de VNC para contornar autenticação multifator (MFA).
“Os usuários que não usam PWAs com frequência podem ser mais suscetíveis a essa técnica, pois podem não saber que os PWAs não deveriam ter uma barra de URL.
Mesmo que o Chrome pareça ter tomado medidas contra isso, mostrando periodicamente o domínio real na barra de título , acho que os hábitos das pessoas de "verificar o URL" tornarão essa medida menos útil. Além disso, quantos programas de conscientização sobre segurança mencionam hoje o phishing de PWA? Só posso falar por experiência própria e não vi empresas mencionarem isso em seus treinamentos. A falta de familiaridade com os PWA e o perigo que podem representar pode tornar esta técnica mais eficaz.
Posso ver essa técnica sendo usada por invasores para solicitar que os usuários instalem um software e então, na janela do PWA, ocorre o phishing. Isso foi demonstrado no vídeo de demonstração que forneci.
Por fim, uma coisa a ter em mente é que o Windows solicita ativamente ao usuário que fixe o PWA na barra de tarefas. Na próxima vez que a janela for aberta, ela abrirá automaticamente a URL mencionada no parâmetro "start_url" do arquivo de manifesto. Isso pode fazer com que o usuário fixe o PWA e o use mais de uma vez, fornecendo mais resultados ao invasor." - mr.d0xApesar de a nova técnica de phishing PWA exigir mais persuasão para que os alvos instalem o aplicativo, é provável que hackers comecem a utilizá-la em breve. Infelizmente, não há políticas de grupo existentes que possam impedir a instalação de PWAs, já que as políticas atuais permitem apenas proibir IDs de extensão específicos ou o acesso a URLs específicas.
Em 2018, pesquisadores do Instituto Avançado de Ciência e Tecnologia da Coreia (KAIST) publicaram um estudo investigando os PWAs e seus potenciais riscos de segurança. O novo kit de mr.d0x certamente adiciona uma camada extra de preocupação para os especialistas em cibersegurança.
A comunidade de segurança deve estar atenta a essa nova ameaça e desenvolver estratégias para mitigar os riscos associados a esses kits de phishing inovadores.
Via - BC
Comments