Cofense 检测到一种成功将凭证网络钓鱼页面传送到用户收件箱的新技术:blob URI。Blob URI 由浏览器生成,用于显示和处理只有该浏览器才能访问的临时数据。
攻击流程图
似乎有多个活动使用 blob URI 进行凭据网络钓鱼。用于登录的活动诱饵,比如接收加密消息等。
通常,使用 blob URI 进行网络钓鱼的流程大概如下:
- 先把网络钓鱼电子邮件绕过 SEG 并成功发送给最终用户。
- 该电子邮件包含指向已列入许可名单的中间页面的链接。
- 允许列表的页面(如 onedrive.live.com) 被威胁行为者滥用以重定向到恶意站点。列入允许列表的页面包含指向威胁行为者控制的 HTML 页面的链接。
- 威胁行为者制作的 HTML 页面将另一个 HTML 文件解码为 blob 格式,然后存储在本地。
- blob URI 是一个网络钓鱼页面。
- 尽管 blob URI 只能在本地访问,但它包含通过网络将用户信息泄露到另一个威胁参与者端点的功能。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。