Un ataque de phishing utiliza URI de blob para mostrar páginas de inicio de sesión falsas en su navegador

Cofense Intelligence revela una novedosa técnica de phishing que utiliza URI de blob para crear páginas de inicio de sesión falsas locales, eludiendo la seguridad del correo electrónico y robando credenciales.

Investigadores de ciberseguridad de Cofense Intelligence han informado sobre un nuevo método cada vez más eficaz que utilizan los ciberdelincuentes para enviar páginas de phishing de credenciales directamente a las bandejas de entrada de los usuarios. Esta técnica, surgida a mediados de 2022, utiliza "Blob URI" (objetos binarios grandes - Identificadores Uniformes de Recursos).

Para su información, las URI de blobs son direcciones que apuntan a datos temporales guardados por su navegador de internet en su ordenador. Tienen aplicaciones legítimas en internet, como la forma en que YouTube almacena temporalmente datos de vídeo en el navegador del usuario para su reproducción.

Una característica clave de las URI de blob es su naturaleza local; es decir, una URI de blob creada por un navegador no puede ser accedida por ningún otro, ni siquiera en el mismo dispositivo. Esta característica inherente de privacidad, si bien es beneficiosa para las funciones web legítimas, ha sido utilizada por actores de amenazas con fines maliciosos.

Según el análisis de Cofense Intelligence, compartido con Hackread.com, dado que los datos de Blob URI no están en Internet normal, los sistemas de seguridad que verifican los correos electrónicos no pueden ver fácilmente las páginas de inicio de sesión falsas y dañinas.

Por lo tanto, cuando recibes un correo electrónico de phishing, el enlace no te dirige directamente a un sitio web falso. En cambio, suele redirigirte a un sitio web real en el que confían los programas de seguridad, como OneDrive de Microsoft. Desde allí, accedes a una página web oculta controlada por el atacante.

Esta página oculta usa una URI de blob para crear una página de inicio de sesión falsa directamente en tu navegador. Aunque esta página solo se guarda en tu ordenador, puede robar tu nombre de usuario y contraseña y enviárselos a los hackers.

Esto representa un desafío para los sistemas de seguridad automatizados, en particular las Puertas de Enlace Seguras de Correo Electrónico (SEG), que analizan el contenido de los sitios web para identificar intentos de phishing, señalaron los investigadores. La novedad de los ataques de phishing mediante URI de blobs implica que los modelos de seguridad basados ​​en IA podrían no estar aún adecuadamente entrenados para distinguir entre usos legítimos y maliciosos.

Esta falta de reconocimiento de patrones, combinada con la táctica común de los atacantes de utilizar múltiples redirecciones, complica la detección automatizada y aumenta la probabilidad de que los correos electrónicos de phishing eludan la seguridad.

Cofense Intelligence ha observado múltiples campañas de phishing que emplean esta técnica de URI de blob, con señuelos diseñados para engañar a los usuarios para que inicien sesión en versiones falsas de servicios conocidos como OneDrive. Estos señuelos incluyen notificaciones de mensajes cifrados, solicitudes para acceder a las cuentas de impuestos de Intuit y alertas de instituciones financieras. A pesar de los diversos pretextos iniciales, el flujo general de ataque se mantiene constante.

Los investigadores advierten que este tipo de phishing podría volverse más común debido a su eficacia para evadir la seguridad. Por lo tanto, es importante tener cuidado con los enlaces en los correos electrónicos, incluso si parecen dirigir a sitios web reales, y verificar siempre antes de introducir la información de inicio de sesión. Ver " blob:http:// " o " blob:https:// " en la dirección del sitio web puede ser una señal de este nuevo truco.