Специалисты по информационной безопасности зафиксировали активную фишинговую кампанию, использующую технику "браузера в браузере" (browser-in-the-browser). Эта атака представляет собой серьёзную угрозу для пользователей, поскольку поддельное окно для входа практически неотличимо от настоящего. Вредоносная кампания затронула не менее десяти уникальных доменов, что свидетельствует о её масштабной подготовке.
Описание
Суть метода заключается в следующем. Злоумышленники создают веб-страницу, на которой отображается поддельное всплывающее окно, имитирующее интерфейс настоящего браузера. Внутри этого окна размещена форма для ввода логина и пароля. Адресная строка в подделке содержит ссылку, которая визуально копирует URL-адрес авторизации OAuth (протокол для безопасной передачи данных между сервисами) легитимного поставщика учётных данных. Жертва видит знакомый интерфейс и не подозревает, что вводит пароль на подконтрольном хакерам ресурсе.
Разработчики фишингового инструмента уделили особое внимание правдоподобности подделки. Всплывающее окно можно перемещать по экрану, оно оснащено работающими кнопками обновления, сворачивания, возврата и закрытия. Это делает его поведение неотличимым от поведения настоящего браузера. Более того, вредоносный код автоматически определяет операционную систему жертвы (Windows, macOS или Linux) через проверку строки userAgent, а также конкретный браузер (Chrome, Firefox, Edge, Safari). После этого подключаются соответствующие стили CSS, и поддельное окно получает внешний вид, идеально соответствующий родному интерфейсу пользователя. Адресная строка, как уже отмечалось, содержит тщательно сконструированную ссылку, которая выглядит как настоящий URL-адрес OAuth.
Злоумышленники применили комплекс мер для обхода систем обнаружения и затруднения анализа. Среди них - блокировка консоли разработчика. Все семь методов отладки, а именно log, warn, info, error, debug, table, trace, переопределены и перестают работать при попытке проанализировать страницу через инструменты разработчика браузера. Это лишает исследователя возможности увидеть происходящее в реальном времени.
Дополнительно код использует специальную конструкцию Function(...) для получения глобального объекта. Такой обходной путь позволяет не использовать прямой вызов window, который легко выявляется статическими анализаторами. Это типичный приём для сокрытия вредоносного кода от автоматических сканеров.
Особого внимания заслуживает метод фрагментации текста. Каждое ключевое слово на странице разбивается пустыми тегами <b> со случайными классами. Например, фраза "Adobe Acrobat Reader Sign in required" превращается в последовательность, где между частями слов вставлены пустые элементы с произвольными идентификаторами. Это делает бесполезным простой поиск по строковым сигнатурам - система безопасности не находит совпадений с известными вредоносными шаблонами.
Если же автоматический сканер или бот всё-таки обнаруживают подозрительную активность, срабатывает механизм перенаправления. Жертву перекидывают через сервис анонимизации ссылок href.li на легитимную страницу Microsoft, посвящённую входу в учётные записи. Таким образом вредоносный URL-адрес выглядит безобидным для всех, кто проверяет его автоматически.
Сам сбор учётных данных организован через "песочницу" (sandbox). В коде создаётся изолированный iframe (встраиваемый фрейм) с атрибутами, разрешающими выполнение скриптов, отправку форм и открытие всплывающих окон. При этом фрейм сохраняет изоляцию от основного документа, что отделяет фишинговую оболочку от непосредственного сбора паролей. Если один из компонентов будет обнаружен, второй может остаться незамеченным.
Эксперты отмечают, что подобные атаки становятся всё более изощрёнными и требуют пересмотра привычных методов защиты.
Каковы возможные последствия такой кампании? Прежде всего, это массовая кража учётных данных от корпоративных систем, облачных сервисов и приложений. Поскольку поддельное окно имитирует OAuth-авторизацию, цель атаки - пароли от сервисов, интегрированных с единой системой входа. Попав в руки злоумышленников, такие пароли позволяют получить доступ к электронной почте, внутренним документам, системам управления проектами и даже финансовым инструментам. Дальнейшее развитие атаки может включать рассылку фишинговых писем от имени скомпрометированного пользователя, кражу данных или установку дополнительного вредоносного программного обеспечения.
Для бизнеса риски очевидны: утечка конфиденциальной информации, финансовые потери, репутационный ущерб. Особенно уязвимы компании, использующие единый вход через OAuth без дополнительной проверки, например, без двухфакторной аутентификации.
Специалистам по информационной безопасности стоит обратить внимание на несколько моментов. Во-первых, стандартные системы защиты электронной почты могут не видеть угрозы, так как фишинг распространяется через веб-сайты, а не через вложения. Во-вторых, техника фрагментации текста делает сигнатурные методы обнаружения неэффективными. Это означает, что для выявления подобных угроз необходимы поведенческие анализаторы, проверяющие структуру страницы, а не только её содержимое. В-третьих, блокировка консоли и обход static-анализаторов требует применения динамических методов проверки, запуска страниц в изолированной среде.
Главная рекомендация для обычных пользователей - всегда проверять адресную строку во всплывающих окнах и, если есть сомнения, вводить пароль только вручную, открыв официальный сайт сервиса через отдельную вкладку. Для корпоративных сред настоятельно рекомендуется внедрение двухфакторной аутентификации, которая делает бесполезной даже украденный пароль.
Кампания демонстрирует, что злоумышленники постоянно совершенствуют инструменты обмана. Техника "браузера в браузере" не нова, но её реализация в данном случае отличается высокой детализацией и применением множества методов скрытия. Это серьёзный сигнал для всех, кто отвечает за корпоративную безопасность.
Индикаторы компрометации
Domains
- 360mpa.com
- automateddocumentsharechannel.wasmer.app
- bucyrusinternationalit.silvercapital.cfd
- c0pilotworkflow-cloudnortstationexclusivemobiletemplates.com
- digital-owa-serverstreamconference.com
- owa-dashboardtr38authpi0netw0rkpv5akl16sqjawprb.com
- transyn-payouts-lmctq56zoe1u7hp2.com
- view-docu-file-secure-project-collaboration.netscomd27.com
URLs
- generationyinternainteractiveagency.vu/ExCl-DoC-0TVVXFk837EI7UeNUh3vQ0SGX7Ec-RIXSPCDY6aiIpWbZKro5dnCsm8Jf3rVJN11VOe7Su_muvo8zBOol1srXcO56qdGu6gt7XSs1yZRVH1iLUZeMWGOQfbnyZ05ATnqNMlrdP7NRs2aYxenFKIChkP78SIE8aqXhq9alGTDlUUobxigpR4qALmpCAeOK720y5xTsJXZaJo/ih9X91vwGimz
- generationyinternainteractiveagency.vu/ExCl-DoC-0TVVXFk837EI7UeNUh3vQ0SGX7Ec-RIXSPCDY6aiIpWbZKro5dnCsm8Jf3rVJN11VOe7Su_muvo8zBOol1srXcO56qdGu6gt7XSs1yZRVH1iLUZeMWGOQfbnyZ05ATnqNMlrdP7NRs2aYxenFKIChkP78SIE8aqXhq9alGTDlUUobxigpR4qALmpCAeOK720y5xTsJXZaJo/iQt5OUYSuuEmB
- quiet-bush-d02b.mohsin-e46.workers.dev/?error=login_required&error_description=AADSTS50058:+A+silent+sign-in+request+was+sent+but+no+user+is+signed+in.+The+cookies+used+to+represent+the+user's+session+were+not+sent+in+the+request+to+Azure+AD.+This+can+happen+if+the+user+is+using+Internet+Explorer+or+Edge,+and+the+web+app+sending+the+silent+sign-in+request+is+in+different+IE+security+zone+than+the+Azure+AD+endpoint+(login.microsoftonline.com).+Trace+ID:+6d02a426-3d53-4916-bfd2-b2c442e54800+Correlation+ID:+31f4da2e-dad7-4947-9c20-642061b19b7d+Timestamp:+2026-02-26+09:24:28Z&error_uri=https://login.microsoftonline.com/error?code=50058&state=121333292915251315901313261326253133233219251791132624