Un nouveau kit de phishing a été publié qui permet aux red teamers et aux cybercriminels de créer des applications Web progressives (Was) qui affichent des formulaires de connexion d’entreprise convaincants pour voler des informations d’identification.

APWA est une application Web créée à l’aide de HTML, CSS et JavaScript qui peut être installée à partir d’un site Web comme une application de bureau ordinaire. Une fois installé, le système d’exploitation créera un raccourci PWA et l’ajoutera pour Ajouter ou supprimer des programmes sous Windows et sous le dossier /Users//Applications/ sous macOS.

Une fois lancée, une application Web progressive s’exécutera dans le navigateur à partir duquel vous l’avez installée, mais sera affichée en tant qu’application de bureau avec toutes les commandes standard du navigateur masquées.

Facebook Instagram de nombreux sites Web utilisent epwa pour offrir une expérience d’application de bureau, y compris X, Instagram, Facebook et TikTok.

X inciter les visiteurs à installer sa PWA

Utiliser des PWA pour hameçonner des informations d’identification
Une nouvelle boîte à outils de phishing créée par le chercheur en sécurité mr.d0x montre comment créer des applications PWA pour afficher les formulaires de connexion d’entreprise, même avec une fausse barre d’adresse affichant l’URL de connexion d’entreprise normale pour la rendre plus convaincante.

« Les PWA s’intègrent mieux au système d’exploitation (c’est-à-dire qu’elles ont leur propre icône d’application, peuvent envoyer des notifications push) et peuvent donc entraîner un engagement plus élevé pour les sites Web », explique le chercheur dans un article de blog sur la nouvelle boîte à outils.

« Le problème avec les PWA est que la manipulation de l’interface utilisateur à des fins de phishing est possible, comme nous l’explorerons dans ce blog. »

Alors que les nouveaux modèles de phishing nécessiteront une certaine conviction pour amener un utilisateur à installer la PWA, il existe des scénarios où il peut être plus facile de le faire.

Il est courant que les auteurs de menaces créent des sites Web conçus pour distribuer des programmes qui installent des logiciels malveillants, comme nous l’avons vu dans le passé avec de faux sites NordVPN et ProtonVPN et de faux nettoyeurs de PC Windows.

De la même manière, un auteur de menace peut créer des sites faisant la promotion de faux logiciels ou d’outils de gestion à distance qui incluent un bouton pour installer leur logiciel, comme illustré ci-dessous.

Site Web créé pour pousser la PWA malveillante

Lorsque le visiteur clique sur le bouton Installer, le navigateur installe la PWA et l’ajoute au système d’exploitation, Windows vous demandant si vous souhaitez créer un raccourci dans la barre des tâches.

Cependant, lorsque la PWA se lance automatiquement, elle invite l’utilisateur à saisir ses informations d’identification pour se connecter, qu’il s’agisse, par exemple, d’un produit VPN, de Microsoft, d’AWS ou d’informations d’identification de boutique en ligne.

Cette technique se démarque car mr. d0x illustre comment vous pouvez intégrer une fausse barre d’adresse contenant une fausse URL dans la PWA, de la même manière que cela a été fait dans la technique du navigateur dans le navigateur. Cela rendra le formulaire de connexion plus légitime pour la cible.

PWA affichant un faux formulaire de connexion Microsoft

Le chercheur a publié les modèles de phishing PWA sur GitHub, permettant à quiconque de les tester ou de les modifier pour leurs propres scénarios.

« Les utilisateurs qui n’utilisent pas souvent les PWA peuvent être plus suspects pour cette technique car ils ne savent peut-être pas que les PWA ne devraient pas avoir de barre d’URL. Même si Chrome semble avoir pris des mesures contre cela en affichant périodiquement le vrai domaine dans la barre de titre, je pense que les habitudes des gens de « vérifier l’URL » rendront cette mesure moins utile.

De plus, combien de programmes de sensibilisation à la sécurité mentionnent aujourd’hui le phishing PWA? Je ne peux parler que d’expérience personnelle et je n’ai pas vu d’entreprises le mentionner dans leur formation. Le manque de familiarité avec les PWA et le danger qu’ils peuvent potentiellement poser pourraient rendre cette technique plus efficace.

Je peux voir cette technique utilisée par les attaquants pour demander aux utilisateurs d’installer un logiciel, puis dans la fenêtre PWA, le phishing se produit. Cela a été démontré dans la vidéo de démonstration que j’ai fournie.

Enfin, une chose à garder à l’esprit est que Windows invite activement l’utilisateur à épingler la PWA à la barre des tâches. La prochaine fois que la fenêtre est ouverte, elle ouvrira automatiquement l’URL mentionnée dans le paramètre « start_url » dans le fichier manifeste. Cela peut amener l’utilisateur à épingler la PWA et à l’utiliser plus d’une fois, fournissant à l’attaquant plus de résultats. »

❖ m. d0x a dit à Breachtrace
Le chercheur est connu pour ses précédentes boîtes à outils de phishing qui affichent de faux archiveurs de fichiers dans le navigateur, utilisent VNC pour contourner MFA et le Navigateur notoire dans les modèles de navigateur, qui ont été abusés par des gangs de ransomwares et pour voler des informations d’identification Steam.

Bien que cette nouvelle méthode de phishing PWA nécessitera plus de conviction pour amener les cibles à installer l’application, il ne sera pas surprenant que des acteurs de la menace utilisent cette technique à un moment donné dans le futur.

Malheureusement, aucune stratégie de groupe existante ne peut empêcher l’installation d’applications Web progressives, les stratégies existantes vous permettant uniquement d’interdire des ID d’extension spécifiques ou l’accès à des URL spécifiques.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *