Giu 13, 2024 News, Phishing, RSS

Un ricercatore di sicurezza, conosciuto sul web come mr.d0x, ha rilasciato un toolkit per realizzare operazioni di phishing sfruttando le Progressive Web App (PWA).

Le PWA sono applicazioni create con tecnologie web come HTML, CSS e JavaScript che possono essere installate sul dispositivo in modo da avere un comportamento molto simile a quello nativo. Il problema, spiega il ricercatore, è che è possibile manipolare l’interfaccia utente per eseguire attacchi di phishing, con l’obiettivo di sottrarre le credenziali inserite.

Quando la vittima accede al sito web controllato dall’attaccante può cliccare sul pulsante “Installa come applicazione Microsoft” per scaricare e installare l’app sul proprio dispositivo. Dopo l’installazione, l’app fa navigare l’utente su una pagina web di phishing che presenta un form di login. A questo punto l’attaccante non deve far altro che raccogliere le credenziali inserite e usarle per altri scopi.

Il ricercatore ha condiviso il codice del toolkit su GitHub per permettere a chiunque di modificarlo e adeguarlo ai propri scenari di test.

Contattato da Bleeping Computer, il ricercatore ha spiegato che gli utenti che non utilizzano le PWA potrebbero essere più esposti a questo attacco perché non sanno che le applicazioni di questo tipo non dovrebbero avere una barra degli URL. “Anche se Chrome sembra aver preso provvedimenti contro questo problema mostrando periodicamente il dominio reale nella barra del titolo, credo che l’abitudine delle persone di “controllare l’URL” renderà questa misura meno utile” ha aggiunto il ricercatore.

Mr.d0x ha anche specificato che oggi quasi nessun programma di cybersecurity menziona le Progressive Web App come un meccanismo di phishing e che la mancanza di familiarità degli utenti con queste applicazioni potrebbe rendere la tecnica molto efficace. “Vedo questa tecnica usata dagli attaccanti per chiedere agli utenti di installare un software e poi nella finestra della PWA avviene il phishing” ha concluso mr.d0x.

• applicazioni web, Phishing, Progressive web app, toolkit