Эксперты по кибербезопасности из Palo Alto Networks зафиксировали серию активных фишинг-кампаний, использующих технологию Blob URL для доставки конечных фишинговых страниц. Этот метод позволяет злоумышленникам динамически создавать вредоносный контент непосредственно в памяти браузера жертвы во время выполнения, что эффективно обходит традиционные сетевые анализаторы и системы обнаружения угроз.
Описание
Blob URL представляет собой временный веб-адрес, который ссылается на данные, хранящиеся в памяти браузера. Эта технология изначально разрабатывалась для веб-разработчиков, позволяя им получать доступ и манипулировать данными на стороне клиента без необходимости запрашивать эти данные с сервера. В навигационной строке браузера Blob URL обычно отображаются с префиксом "blob:" и завершаются UUID (универсальным уникальным идентификатором). Важной особенностью является то, что значения UUID в Blob URL различаются при каждой попытке доступа к родительскому URL, что усложняет обнаружение и блокировку таких ресурсов.
Формат Blob URL выглядит следующим образом: blob:https://вредоносныйдомен[.]tld/01234567-89ab-cdef-0123-456789abcdef. Фишинговые сайты реализуют эту технологию через текст в кодировке base64, который представляет собой конечную фишинговую страницу. При доступе к сайту этот текст декодируется и собирается в blob-объект непосредственно в браузере жертвы, полностью минуя традиционные механизмы сетевого анализа.
Конкретный пример из наблюдаемой активности демонстрирует, как URL hxxps[:]//trungtamdulieu.khaihoanprime[.]vn/wp-admin/js/cgi-/trade/blob.html генерировал в браузере Blob URL вида blob:hxxps[:]//trungtamdulieu.khaihoanprime[.]vn/d9d26e2c-fac8-41eb-8e7d-2630b138a5cd при проверке 2 октября 2025 года.
Особенностью некоторых цепочек URL в этой активности стало использование мета-переадресации (meta refresh) для вредоносного перенаправления. Например, URL hxxps[:]//abctraveladvisor[.]com/wp-admin/css/red/wx.htm возвращал HTML-текст, содержащий инструкцию автоматического перенаправления на фишинговый ресурс через 0.1 секунды.
Еще одной тактикой злоумышленников стало использование сторонних сервисов хранения данных для размещения вредоносного контента. Активная на 2 октября 2025 года цепочка событий с использованием стороннего сервиса хранения для Blob URL включала несколько этапов: сначала происходило обращение к сервису workers[.]dev, затем к хранилищу firebasestorage.googleapis[.]com, и в конечном итоге формировался Blob URL для доступа к фишинговому содержимому.
Эксперты отмечают, что фишинговые страницы на основе Blob URL имитируют различные компании и организации. Это могут быть как корпоративные страницы входа в систему, так и веб-сервисы, включая почтовые провайдеры. Такой подход позволяет злоумышленникам создавать убедительные поддельные страницы, которые визуально не отличаются от легитимных ресурсов.
Технология Blob URL представляет серьезную проблему для традиционных систем безопасности, поскольку вредоносное содержимое никогда не передается по сети в готовом виде - оно собирается непосредственно в браузере пользователя из закодированных данных. Это означает, что системы сетевого анализа и сигнатурного обнаружения не могут идентифицировать такую угрозу на этапе передачи данных.
Для эффективного противодействия таким атакам специалисты по безопасности рекомендуют многоуровневый подход, включающий обучение пользователей распознаванию фишинговыхattempt, внедрение поведенческого анализа клиентских приложений, а также использование систем защиты конечных точек, способных отслеживать подозрительную активность непосредственно в браузере. Особое внимание следует уделять мониторингу нестандартных схем URL, включая те, что начинаются с "blob:", и анализу поведения веб-приложений в реальном времени.
Растущая популярность этой техники среди киберпреступников свидетельствует о необходимости адаптации стратегий кибербезопасности к новым методам обхода защитных механизмов. Организациям следует пересмотреть свои системы защиты веб-трафика и рассмотреть возможность внедрения решений, способных анализировать динамически генерируемый контент на стороне клиента.
Индикаторы компрометации
URLs
- https://abctraveladvisor.com/wp-admin/css/red/wx.htm
- https://curly-sky-464f.ivelissayed74236719.workers.dev/
- https://exadigital.com.ar/5c9fd126/osc/fid.html
- https://gqr.sh/tQyk
- https://inclar.com/yyygid/amex31/link.html
- https://mcdonoughandcompany.com/wp-content/uploads/elementor/thumbs/wabmailg.php
- https://nonyanefoundation.org.za/wp-includes/cgi-/amex-online/blob.html
- https://primo.ro/images/chi/blob.html
- https://pub-2e654109d15e4d5da41bb6ff6043162e.r2.dev/blob.html
- https://pub-4bd13616d08c483c8994ae6a05bd5994.r2.dev/index.html
- https://pub-5bbea12868924b21b6373c7db5ea4d9f.r2.dev/blob.html
- https://pub-845232413d77493aa1b626f5186dadae.r2.dev/index.html
- https://pub-8df862c960c24690b029d17914cec0fb.r2.dev/ablob.html
- https://pub-a26ed424731f4c07ad2dcb7653497632.r2.dev/vmo.html
- https://pub-d8bf19d68ef3433e8384b6f5fae7cf83.r2.dev/blob.html
- https://pub-dbe35a2011974d0292f79e5dc68e4594.r2.dev/blob.html
- https://snowy-kumejima-9716.lolipopmc.jp/wp-admin/js/cgi-/blob.html
- https://surfacedesigners.us/wp-includes/images/Wetr/index.html
- https://trungtamdulieu.khaihoanprime.vn/wp-admin/js/cgi-/trade/blob.html
- https://winvestment.ae/cgi-/blob.html
- https://yellow-sunset-c6b3.page1-c31.workers.dev/
