Phishing usa Blob URIs para ataques com páginas falsas de login

São Paulo — InkDesign News — Pesquisadores da Cofense Intelligence identificaram uma técnica inédita de phishing que utiliza blob URIs para criar páginas de login falsas locais diretamente no navegador do usuário, burlando sistemas tradicionais de segurança de e-mails desde meados de 2022.

Incidente e vulnerabilidade

A nova modalidade de ataque cibernético reportada pela Cofense Intelligence explora “blob URIs” (Uniform Resource Identifiers para objetos binários grandes), que são endereços temporários usados pelo navegador para armazenar dados localmente no dispositivo do usuário. Embora os blob URIs tenham aplicações legítimas, como no armazenamento temporário de vídeos no YouTube, sua característica de ser acessível exclusivamente pelo navegador que o criou transformou-se em vetor para phishing sofisticado.

Ao contrário dos sites tradicionais, as páginas maliciosas geradas via blob URI não estão hospedadas na internet acessível, mas salvam a página de login falsa localmente no navegador da vítima, dificultando a detecção pelos sistemas de segurança, principalmente pelos Secure Email Gateways (SEGs), que analisam o conteúdo web para identificar phishing. A técnica combina múltiplos redirecionamentos, começando por sites confiáveis como o Microsoft OneDrive, até a exibição da página de login falsa por meio do blob URI.

“The novelty of phishing attacks using blob URIs means AI-powered security models may not yet be adequately trained to distinguish between legitimate and malicious uses.”
(“A novidade dos ataques de phishing que utilizam blob URIs significa que os modelos de segurança baseados em IA podem ainda não estar adequadamente treinados para distinguir entre usos legítimos e maliciosos.”)

— Cofense Intelligence

Impacto e resposta

Esse método permite que invasores coletem nomes de usuário e senhas mesmo sem que a página falsa esteja visível na internet, pois a falsificação é carregada diretamente no computador da vítima. Tal abordagem dificulta a identificação automática de ameaças e aumenta a eficácia dos ataques ao burlar verificações de links e sites confiáveis, elevando o risco ao ambiente corporativo e pessoal. As campanhas recentes detectadas incluem iscas diversas, como notificações de mensagens criptografadas, alertas de instituições financeiras e solicitações envolvendo contas fiscais da Intuit.

“It can still steal your username and password and send it to the hackers.”
(“Ainda pode roubar seu nome de usuário e senha e enviá-los aos hackers.”)

— Cofense Intelligence

Organizações têm aumentado a atenção para atualização das ferramentas de defesa, incluindo treinamento contínuo e políticas de verificação manual para links recebidos por e-mail, além de alertar usuários sobre a possível presença de URLs que iniciam com “blob:http://” ou “blob:https://”, que são indicativos dessa técnica.

Mitigações recomendadas

Defesas eficazes contra essa ameaça incluem a atualização e aprimoramento dos sistemas de Secure Email Gateway com inteligência adaptativa para analisar o comportamento de múltiplos redirecionamentos e o conteúdo das páginas carregadas localmente no navegador. Práticas de conscientização de usuários para evitar clicar em links suspeitos e confirmar URLs também são essenciais.

Recomenda-se ainda a implementação de políticas de autenticação multifator (MFA) para reduzir o impacto em caso de vazamento de credenciais e a adoção de soluções de sandboxing que possam simular e analisar conteúdos carregados via blob URIs. Monitoramento contínuo de acessos incomuns e alertas em tempo real ajudam na rápida detecção e resposta a incidentes relacionados.

Embora os avanços técnicos visem mitigar o risco, o uso crescente dessa técnica revela fragilidades nos atuais modelos de defesa automatizada, demandando esforços contínuos de pesquisa e adaptação para evitar evasões futuras.

Fonte: (Hack Read – Segurança Cibernética)