瀏覽器中的瀏覽器 (Browser in the Browser, BitB) 惡意行為分析

5 月
17
2022

瀏覽器中的瀏覽器 (Browser in the Browser, BitB) 惡意行為分析

Menlo Labs 研究團隊最近分析了一個惡意網域,該網域以在瀏覽器中使用瀏覽器 (BitB) 攻擊而聞名。當用戶訪問網站並被要求通過第三方(例如 Google 或 Facebook)登錄時,BitB 攻擊就開始了。當用戶點擊連結時,會出現另一個完全使用 HTML 和 CSS 構建的彈出視窗。雖然彈出視窗中顯示的 URL 看起來像一個合法網站,但底層 iframe 指向一個網路釣魚網站。這些攻擊利用高度規避自適應威脅 (HEAT)技術來逃避偵測。

 

當我們分析域 gateway[.]pinata[.]cloud 時,我們注意到它與多個網路釣魚網站相關聯。不僅網站不同,引用連結也不同。從一個通用的電子郵件登錄頁面到一個虛假的 CDC 登錄頁面,這個網域託管了一個網路釣魚網站的基地。我們現在想與您分享其中的一些。

我們將查看的第一個 URL 路徑是:gateway.pinata[.]cloud/ipfs/QmUaW8pYp41riYfRCiYLWGi1omwKV5erkYLzE469jZdk7b。
根據 VirusTotal (VT) 的說法,它與惡意軟體有關,並且該惡意軟體被標記為與 APT10 相關。如果您通過該 URL 路徑訪問該網站,您將獲得一個通用郵件登錄頁面。

如果您轉到相同的 URL 路徑,但碰巧在末尾添加了 # sellton@cdc.gov ,您將獲得 CDC 登錄頁面。

我們還注意到,一些引用 URL 路徑中也包含電子郵件。例如https[://]thulth[.]com/public/css///#[victimname]@henkel.com,結束於 https[://]gateway.pinata[.]cloud/ipfs/Qmdxg94XWxwtZEF7RM712RZL7wW4efBEYNHNMujNiFRyHg /。這是微軟的目標頁面。

如果受害者輸入他們的憑證,它將通過 JavaScript 向 https[://]ortadogulular[.]com/support/shieldshots.php 發出申請。這種類型的活動被認為是高度規避的自適應威脅 (HEAT),這是一類利用 Web 瀏覽器作為攻擊媒介並採用各種技術(例如以上技術)來逃避安全堆棧中的多層檢測網路威脅。

我們發現該網域上的大多數網站都遵循該方法。隨著網路威脅者嘗試以新方法誘騙受害者放棄其憑證,BitB 攻擊可能會繼續增加。在使用用戶使用單一登入(Single Sign-On, SSO)時,使用多因素身份驗證可能有助於提高安全性。同時,Menlo Security網路隔離安全防護技術,是讓所有網頁流量透過雲端遠程瀏覽器處理,並僅將安全內容畫面傳送到端點,能在無需使用端點軟體且不影響終端使用者的網路體驗下,為企業組織提供全方位防護。

 

資料來源:Menlo Security Blog

延伸閱讀