Mit einer neuen Phishing-Technik wurde nachgewiesen, dass die Funktion „Anwendungsmodus“ in Chromium-basierten Webbrowsern missbraucht werden kann, um „realistische Desktop-Phishing-Anwendungen“ zu erstellen.
Der Anwendungsmodus ist so konzipiert, dass die Website in einem separaten Browserfenster gestartet wird, während das Favicon der Website angezeigt und die Adressleiste ausgeblendet wird.
Laut dem Sicherheitsforscher mr.d0x, der Anfang des Jahres auch die Browser-in-the-Browser (BitB)-Angriffsmethode entwickelt hat, kann ein bösartiger Akteur dieses Verhalten ausnutzen, um mit einigen HTML/CSS-Tricks eine gefälschte Adressleiste im oberen Teil des Fensters einzublenden und die Nutzer/innen dazu zu bringen, ihre Anmeldedaten in betrügerischen Anmeldeformularen einzugeben.
„Obwohl diese Technik eher für internes Phishing gedacht ist, kann man sie auch in einem externen Phishing-Szenario einsetzen“, sagt mr.d0x. „Du kannst diese gefälschten Anwendungen unabhängig voneinander als Dateien ausliefern.“
Dazu musst du eine Phishing-Seite mit einer gefälschten Adressleiste am oberen Rand einrichten und den Parameter –app so konfigurieren, dass er auf die Phishing-Seite verweist, die die Seite hostet.
Darüber hinaus kann die vom Angreifer kontrollierte Phishing-Seite JavaScript einsetzen, um weitere Aktionen auszuführen, wie z. B. das Schließen des Fensters unmittelbar nach der Eingabe der Anmeldedaten oder die Größenänderung und Positionierung des Fensters, um den gewünschten Effekt zu erzielen.
Es ist erwähnenswert, dass der Mechanismus auch auf anderen Betriebssystemen wie macOS und Linux funktioniert, was ihn zu einer potenziellen plattformübergreifenden Bedrohung macht. Voraussetzung für den Erfolg des Angriffs ist jedoch, dass der Angreifer bereits Zugriff auf den Rechner des Ziels hat.
Abgesehen davon stellt Google die Unterstützung für Chrome-Apps zugunsten von Progressive Web Apps (PWAs) und Web-Standardtechnologien ein. Es wird erwartet, dass die Funktion in Chrome 109 oder später auf Windows, macOS und Linux vollständig abgeschafft wird.
Die Ergebnisse kommen zu einem Zeitpunkt, an dem neue Erkenntnisse der Trustwave SpiderLabs zeigen, dass HTML-Schmuggelangriffe weit verbreitet sind, wobei .HTML- (11,39 %) und .HTM-Dateien (2,7 %) nach .JPG-Bildern (25,29 %) den zweithäufigsten Typ von Spamanhängen darstellen.