Les chercheurs ont découvert que le mode d’application de Google Chrome peut être utilisé à mauvais escient pour les menaces de phishing.
Utilisé pour offrir aux utilisateurs de ChromeOS une interface propre et minimale pour certains sites Web tels que YouTube, lorsqu’il est lancé, le mode Application ouvre une nouvelle fenêtre de navigateur sans la barre d’adresse, les barres d’outils ou d’autres éléments familiers – même la barre des tâches affiche le favicon du site Web au lieu du Icône chromée.
Mais ce mode peut être abusé, a découvert le chercheur en cybersécurité mr.d0x. Si un attaquant parvient à convaincre un utilisateur d’exécuter un raccourci Windows qui exécute une URL de phishing avec la fonction de mode d’application de Chromium, l’utilisateur ne verra que ce qui semble être le formulaire de connexion pour une application. En réalité, cependant, ce serait une page de phishing qui vole (s’ouvre dans un nouvel onglet) les données de connexion des personnes.
Fichiers de raccourcis
Depuis que Microsoft a décidé de supprimer les fichiers Office malveillants, les cybercriminels se tournent vers les fichiers de raccourcis Windows (.LNK).
Les experts en cybersécurité ont depuis découvert d’innombrables campagnes d’attaques qui ont exploité avec succès les fichiers .LNK pour diffuser toutes sortes de virus et de logiciels malveillants, de QBot à BazarLoader, en passant par tout ce qui se trouve entre les deux.
Expliquant cette nouvelle méthode potentielle, mr.d0x indique qu’un attaquant pourrait utiliser un fichier de raccourci pour lancer une « applet » de phishing sur le terminal de la victime :
- Pour Chrome :
« C:Program FilesGoogleChromeApplicationchrome.exe » –app=https://example.com - Pour Microsoft Bord
« c:Program Files (x86)MicrosoftEdgeApplicationmsedge.exe » –app=https://example.com
Il existe plusieurs façons d’abuser de cette faille, a ajouté mr.d0x, notamment en ayant accès à l’appareil cible, en utilisant un fichier HTML portable avec le paramètre « -app » intégré, ou en utilisant la technique Browser-in-the-Browser pour ajouter un fausse barre d’adresse. Enfin, l’attaque peut également être lancée sur les appareils macOS et Linux, a-t-il déclaré.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)