Neue Phishing-Methode umgeht Zwei-Faktor-Authentifizierung

Neue Phishing-Methode umgeht Zwei-Faktor-Authentifizierung

Neue Phishing-Methode umgeht Zwei-Faktor-Authentifizierung

Angesichts der großen Zahl von Datenschutzverletzungen, Trojaner-Angriffen mit Fernzugriff und Phishing-Kampagnen sind gestohlene Anmeldedaten inzwischen keine Seltenheit mehr. Durch die zunehmende Verwendung von Multi-Faktor-Authentifizierung (MFA) ist es für Angreifer jedoch schwieriger geworden, gestohlene Anmeldedaten zu verwenden, es sei denn, die Bedrohungsakteure haben ebenfalls Zugriff auf die MFA-Passwörter oder Sicherheitsschlüssel des Angriffsziels. Dies hat sich nun mit einer neuen, raffinierten Phishing-Technik geändert.

Diese neue Technik trägt den Namen „WebView2-Cookie-Stealer“ und nutzt Microsoft Edge WebView2-Anwendungen, um die Authentifizierungs-Cookies der Opfer zu stehlen, sodass die Multi-Faktor-Authentifizierung bei der Anmeldung umgangen werden kann.

Die neuartige Angriffstechnik verwendet eine ausführbare WebView2-Datei, die durch einen Benutzer ausgeführt wird und ein echtes Microsoft-Anmeldeformular einer legitimen Website innerhalb der Anwendung öffnet. Das Anmeldeformular enthält keine verdächtigen Elemente wie Tippfehler oder seltsame Domainnamen, sodass der Benutzer keinen Verdacht schöpft.

Diese Vorgehensweise ermöglicht es einem Angreifer, direkt auf Cookies zuzugreifen und JavaScript in eine von einer Anwendung geladene Webseite einzufügen, um Tastatureingaben zu protokollieren und Authentifizierungs-Cookies zu stehlen. Alle gestohlenen Cookies samt Anmeldedaten werden nach der Anmeldung des Benutzers vom Remote-Server an den Hacker gesendet. Darüber hinaus ist es möglich, mit der WebView2-Anwendung Cookies von einem bestehenden Chrome-Benutzerprofil aus dem Ordner ‚C:\Users\\AppData\Local\Google\Chrome\User Data‘ zu stehlen, indem einfach das bestehende Chromium-Profil kopiert wird.

Unsere Handlungsempfehlungen:

- Vermeiden Sie das Herunterladen von Dateien aus unbekannten Quellen, einschließlich Websites, E-Mails oder URLs in Nachrichten – auch von vertrauenswürdigen Kontakten. Fragen Sie im Zweifel telefonisch nach.

- Rufen Sie die entsprechenden Seiten selbst im Browser auf, wenn Sie sich dort anmelden wollen.

- Öffnen Sie keine verdächtigen Links, insbesondere, wenn Sie den Absender nicht kennen.

- Öffnen Sie keine unbekannten Anhänge, egal ob es sich um Dokumente oder ausführbare Dateien handelt.

-Vermeiden Sie die Eingabe Ihrer Anmeldeinformationen in nicht vertrauenswürdige oder unbekannte Anwendungen.

Quellen:

https://mrd0x.com/attacking-with-webview2-applications/

https://www.bleepingcomputer.com/news/security/clever-phishing-method-bypasses-mfa-using-microsoft-webview2-apps/