Phát hiện bộ công cụ lừa đảo mới cho phép tạo cửa sổ trên trình duyệt Chrome

 Các nhà nghiên cứu bảo mật quốc tế gần đây đã phát hiện ra một bộ công cụ lừa đảo nguy hiểm. Công cụ này được thiết kế để cho phép những kẻ lừa đảo và tội phạm mạng tạo biểu mẫu đăng nhập lừa đảo đơn giản và hiệu quả chỉ bằng một cửa sổ trình duyệt Chrome giả mạo.

Cửa sổ giả mạo này được thiết kế rất giống thật, và nó cũng đi kèm với một loạt tùy chọn đăng nhập quen thuộc với Google, Microsoft, Apple, Twitter và thậm chí cả Steam. Ví dụ dưới đây cho thấy một biểu mẫu đăng nhập DropBox cho phép người dùng đăng nhập bằng tài khoản Apple hoặc Google.

Khi bạn nhấp vào nút "Đăng nhập bằng Google hoặc ứng dụng", một cửa sổ trình duyệt đăng nhập một lần (SSO) sẽ xuất hiện, nhắc bạn nhập thông tin đăng nhập và tiếp tục đăng nhập tài khoản của mình.

Các cửa sổ này bị xóa để chỉ hiển thị biểu mẫu đăng nhập và thanh địa chỉ URL của biểu mẫu đăng nhập.

Mặc dù thanh địa chỉ bị tắt trong các cửa sổ SSO này, bạn vẫn có thể sử dụng URL được hiển thị để xác minh rằng miền google.com hợp pháp đang được sử dụng để đăng nhập bạn vào trang web. Sự hiện diện của URL này làm cho biểu mẫu đáng tin cậy hơn và chắc chắn sẽ khiến bạn cảm thấy thoải mái khi nhập thông tin đăng nhập của mình.

Trước đây, các tác nhân đe dọa đã cố gắng tạo các cửa sổ SSO giả này bằng HTML, CSS và JavaScript. Nhưng các cửa sổ thường hơi khác một chút, khiến chúng trông đáng ngờ hơn là "thật" như ví dụ trên.

Tấn công trình duyệt trong trình duyệt

Sự xuất hiện của các cửa sổ trình duyệt giả mạo này đã dẫn đến một hình thức tấn công mới được gọi là "trình duyệt trong trình duyệt (BitB)". Họ sử dụng các mẫu có sẵn để tạo cửa sổ bật lên Chrome giả, nhưng với thiết kế trông giống như thật, bao gồm tiêu đề địa chỉ và URL tùy chỉnh có thể được sử dụng trong các cuộc tấn công lừa đảo.

Về cơ bản, một cuộc tấn công BitB tạo ra một cửa sổ trình duyệt giả bên trong một cửa sổ trình duyệt thực (trình duyệt bên trong một trình duyệt), điều này giúp tăng tính thuyết phục của một chiến dịch lừa đảo.

Một nhà nghiên cứu bảo mật có biệt danh mr.d0x gần đây đã xuất bản một ví dụ về một mẫu tấn công BitB (thông qua GitHub). Chúng bao gồm các cửa sổ Chrome giả trên Windows và Mac có sự khác biệt về giao diện trên nền tối và sáng.

Các tác nhân độc hại đôi khi chỉ cần tải xuống một mẫu, chỉnh sửa nó để bao gồm URL và tiêu đề mong muốn, đồng thời sử dụng iframe để hiển thị biểu mẫu đăng nhập. Ngoài ra, bạn có thể thêm HTML trực tiếp vào biểu mẫu đăng nhập. Tuy nhiên, quá trình này sẽ yêu cầu hacker phải biết cách căn chỉnh đúng biểu mẫu bằng cách sử dụng CSS và HTML.

Kuba Gretzky, người tạo ra bộ công cụ lừa đảo Evilginx, đã thử nghiệm phương pháp mới và cho thấy cách nó hoạt động hoàn hảo với nền tảng Evilginx. Điều này có nghĩa là nó có thể được điều chỉnh để đánh cắp khóa 2FA trong các cuộc tấn công lừa đảo.

Trong thực tế, đây không phải là một kỹ thuật lừa đảo. Trong năm 2020, đã có một số trường hợp các trang web chơi game giả mạo sử dụng các kỹ thuật trên để đánh cắp thông tin đăng nhập Steam.