I criminali informatici continuano a trovare metodi innovativi per eludere i controlli di sicurezza. Un esempio recente è l’utilizzo dei “Blob URI” (Binary large object – Uniform Resource Identifier) per recapitare nelle caselle di posta elettronica degli utenti pagine di phishing contenenti credenziali.
Indice degli argomenti
Cosa sono i Blob URI
I Blob URI sono indirizzi generati dal browser che puntano a dati temporanei memorizzati localmente nella memoria del browser stesso.
Invece di fare riferimento a contenuti ospitati su un server remoto, questi URL sono validi solo all’interno della sessione dell’utente e iniziano tipicamente con “blob:https://”.
Sono comunemente usati per scopi legittimi, come il caricamento e la visualizzazione di file multimediali nei siti web.
Tuttavia, questa funzionalità può essere sfruttata anche in modo malevolo.
Come vengono utilizzati dagli attaccanti
I cyber criminali hanno iniziato a sfruttare i Blob URI per veicolare pagine di phishing direttamente nel browser dell’utente.
Queste pagine appaiono legittime e funzionano come normali pagine web, ma in realtà sono progettate per rubare credenziali o indurre l’utente a scaricare malware.
L’aspetto più critico è che, trattandosi di contenuti locali, non possono essere analizzati da strumenti di sicurezza basati su cloud o da gateway e-mail tradizionali. Infatti, poiché i dati non si trovano in rete Internet, i sistemi di sicurezza che controllano le e-mail non riescono a individuare facilmente le pagine di landing sospette e generate tramite Blob URI.
In pratica, la tecnica ingannevole prevede che quando si riceve un’e-mail di phishing, il link non porti direttamente a un sito web falso, ma si venga dapprima indirizzati verso un sito web reale, considerato attendibile dai programmi di sicurezza e dopo verso una pagina web controllata dall’attaccante, la pagina Blob URI per l’appunto.
Secondo il rapporto di Cofense, in questo tipo di attacco tutto inizia con un’e-mail di phishing che riesce a superare i controlli di sicurezza (SEG, Secure Email Gateway) e finisce nella casella di posta elettronica dell’utente.
All’interno del messaggio un link che sembra innocuo, perché punta a un sito legittimo come OneDrive (la pagina intermedia) non verrà bloccato.
Ma quel sito verrà in realtà usato solo come ponte, reindirizzando l’utente verso una pagina nascosta e creata dall’attaccante.
La pagina carica un file HTML codificato che, una volta decodificato dal browser, diventa un blob URI, presentato come è una pagina di login, perfettamente camuffata e caricata in locale, che appare nel browser come se fosse autentica.
Anche se questa pagina risiede solo sul computer dell’utente, è comunque allestita per catturare le credenziali inserite e inviarle ad un server presidiato.
Come specificato da Cofense, la pagina intermedia, prima del reindirizzamento al sito di phishing, punta verso onedrive[.]live[.]com, una pagina cloud Microsoft legittima.
Successivamente, cliccando su “Sign in” si viene reindirizzati verso una pagina HTML controllata dall’autore della minaccia, che scarica e visualizza un blob URI HTML, nella fattispecie una pagina che falsifica un accesso OneDrive.
Implicazioni per la sicurezza
Questa tecnica rappresenta una nuova sfida per i team di sicurezza informatica. In particolare, l’uso dei Blob URI da parte dei cyber criminali segna un’evoluzione nelle tecniche di evasione.
Per contrastare questa minaccia, le aziende dovrebbero aggiornare le proprie strategie di difesa, investendo in soluzioni che siano capaci di rilevare minacce anche interne ai browser.
A quanto pare le difese basate esclusivamente su analisi dei link o delle intestazioni e-mail non sono più sufficienti.
Occorrono strumenti capaci di:
- analizzare il comportamento lato browser;
- rilevare l’uso sospetto di Blob URI;
- monitorare le interazioni utente che sbloccano contenuti pericolosi.
Poiché il phishing tramite URI BLOB è una tattica relativamente nuova, i modelli di intelligenza artificiale potrebbero non aver ancora imparato a distinguere tra BLOB URI legittimi e dannosi, complicando, di fatto, anche i processi di analisi automatica.
