27/06/22
Этот позволяет злоумышленнику обходить многофакторную аутентификацию (МФА) при входе в украденную учетную запись.
Microsoft Edge WebView2 позволяет встроить веб-браузер в приложения, используя Microsoft Edge в качестве механизма рендеринга. Используя эту технологию, приложения могут загружать любой веб-сайт и отображать его во встроенном браузере.
Однако, WebView2 также позволяет разработчику напрямую обращаться к cookie файлам и внедрять JavaScript на веб-страницу, что делает его отличным инструментом для регистрации нажатий клавиш и кражи cookie файлов для проверки подлинности, а затем отправки их на удаленный сервер.
Новая кампания « WebView2-Cookie-Stealer » использует социальную инженерию и состоит из исполняемого файла WebView2, который при запуске открывает в приложении форму входа на легитимный веб-сайт.
В PoC-атаке исследователя кибербезопасности mr.d0x исполняемый файл открыл форму входа в Microsoft с помощью WebView2. Поскольку приложение WebView2 может внедрять JavaScript на страницу, все нажатия клавиш пользователя автоматически отправляются обратно на веб-сервер злоумышленника.
Киберпреступник также может украсть cookie файлы (включая cookie файлы для аутентификации) после входа пользователя в систему. Затем злоумышленник может перейти к форме входа для скомпрометированной учетной записи и импортировать cookie файлы для автоматической аутентификации на сайте. Атака позволяет киберпреступнику обойти МФА, поскольку cookie файлы украдены после входа пользователя в систему и прохождения им многофакторной аутентификации.
«Этот метод социальной инженерии требует, чтобы злоумышленник убедил пользователя загрузить и запустить вредоносное приложение. Мы рекомендуем пользователям избегать запуска или установки приложений из неизвестных источников, а также поддерживать актуальным антивирусное ПО», — заявила Microsoft.
Подробнее: https://www.securitylab.ru/news/532503.php
