BlobPhish: фишинг в памяти браузера обходит классические средства защиты

Атака нацелена на широкий спектр сервисов, включая облачный пакет Microsoft 365, онлайн-банкинг крупных американских финансовых институтов и веб-почтовые порталы. Её ключевая особенность - использование браузерного объекта Blob (Binary Large Object) для создания фишинговой страницы "на лету". Вредоносный JavaScript-загрузчик, который изначально может быть размещён на скомпрометированном легитимном сайте, декодирует полезную нагрузку из формата Base64 и создаёт в памяти браузера объект Blob, содержащий полноценную HTML-страницу с формой для ввода логина и пароля. Затем с помощью "window.URL.createObjectURL()" для этого объекта генерируется специальная "blob:"-ссылка, по которой происходит автоматическая навигация. Для пользователя страница выглядит абсолютно легитимной, а в адресной строке отображается именно эта "blob:"-ссылка, что может не вызвать подозрений.

Механизм работы делает кампанию крайне устойчивой к обнаружению. Поскольку фишинговая страница никогда не запрашивается по HTTP/HTTPS с внешнего ресурса, её URL не появляется в журналах веб-прокси или системах предотвращения вторжений (IPS). Файл страницы не сохраняется на диск, что исключает его анализ файловыми антивирусами. Фактически, единственным артефактом, который может быть замечен системами безопасности, становится финальный POST-запрос с украденными учётными данными на сервер злоумышленников. Исследователи из ANY.RUN в своём отчёте детально описали эту технику, отметив, что для доставки загрузчика злоумышленники активно используют фишинговые письма с финансовыми темами, ссылки на сервисы обмена документами вроде DocSend, а также PDF-файлы с QR-кодами, ведущими на вредоносные страницы.

Целями поддельных страниц в этой кампании становятся такие гиганты, как JPMorgan Chase, Capital One, American Express, Charles Schwab, E*TRADE, PayPal, а также различные службы Microsoft. Это указывает на высокую экономическую мотивацию атакующих: получение доступа к корпоративной почте Microsoft 365 открывает путь для атак типа Business Email Compromise (BEC), когда злоумышленники инициируют мошеннические переводы, а доступ к банковским аккаунтам может привести к прямым финансовым потерям. География атак широка, но около трети жертв находятся в США; инциденты также фиксировались в странах Европы, Азии и Ближнего Востока.

Последствия успешной атаки выходят далеко за рамки компрометации одного аккаунта. Получение учётных данных сотрудника к Microsoft 365 может привести к полному захвату клиента организации: доступу к почте, файлам в SharePoint и OneDrive, данным в Teams. Это создаёт риски утечки конфиденциальной информации, мошенничества с деловыми письмами и последующего распространения атаки внутри сети. В случае с банковскими сервисами прямой угрозе подвергаются финансовые активы компании. Более того, украденные учётные данные могут стать первой ступенью для более масштабного вторжения, включая внедрение программ-вымогателей.

Для противодействия подобным скрытым угрозам требуются специализированные инструменты. Традиционные сигнатурные методы и анализ сетевого трафика оказываются малоэффективны. На первый план выходят поведенческий анализ в изолированных средах (песочницах), способных эмулировать реальный браузер и отслеживать создание "blob:"-объектов, а также индикаторами компрометации второго порядка. К таким относятся, например, паттерны POST-запросов к скриптам с именами "res.php", "tele.php" или "panel.php", которые исследователи обнаружили в рамках кампании BlobPhish. Регулярное обновление правил для систем безопасности на основе подобных данных позволяет блокировать конечные точки эксфильтрации ещё до того, как данные жертв будут переданы злоумышленникам.

Кампания BlobPhish наглядно демонстрирует эволюцию фишинга в сторону большей скрытности и изощрённости. Атакующие целенаправленно эксплуатируют легитимные функции современных веб-браузеров, чтобы обойти построенную годами периметровую защиту. Это сигнал для специалистов по безопасности о необходимости смещения фокуса с чисто сетевого и сигнатурного анализа в сторону мониторинга поведения конечных точек, анализа памяти и использования динамических песочниц. Понимание механизмов работы таких угроз, таких как генерация контента в памяти, становится критически важным для построения эффективной защиты корпоративных цифровых активов в 2026 году.

Domains

• ftpbd.net
• hnint.net
• i-seotools.com
• larva888.com
• mail.hubnorte.com.br
• mtl-logistics.com
• mts-egy.net
• riobeautybrazil.com
• wajah4dslot.com

URLs

• https://_wildcard_.gonzalezlawnandlandscaping.com/zovakmf/exfuzaj/pcnlwyf/cgi-ent/tele.php
• https://ftpbd.net/wp-content/plugins/cgi-/trade/blob.html
• https://ftpbd.net/wp-content/plugins/cgi-/trade/trade//panel.php
• https://ftpbd.net/wp-content/plugins/cgi-/trade/trade//res.php
• https://hnint.net/bloji.html
• https://hnint.net/cgi-bin/peacemind//panel.php
• https://hnint.net/cgi-bin/peacemind//res.php
• https://i-seotools.com/wp-content/citttboy.html
• https://larva888.com/wp-includes/css/dist/tmp/vmo.html
• https://localmarketsense.com/wp-includes/Text/sxzmqkp/krtxbvo/sahz1xi/cgi-ent/emailandpasssss.html
• https://mail.hubnorte.com.br/blom.html
• https://mtl-logistics.com/blb/blob.html
• https://mtl-logistics.com/css/sharethepoint/point/res.php
• https://mts-egy.net/wp-content/plugins/owpsyzj/cgi-ent/panel.php
• https://mts-egy.net/wp-content/plugins/owpsyzj/cgi-ent/res.php
• https://riobeautybrazil.com/wp-admin/amx/panel.php
• https://riobeautybrazil.com/wp-admin/amx/res.php
• https://wajah4dslot.com/wp-includes/certificates/tmp//panel.php
• https://wajah4dslot.com/wp-includes/certificates/tmp//res.php