網(wǎng)絡(luò)安全領(lǐng)域近日曝出一則新威脅，黑客組織正在采用一種前所未有的釣魚(yú)攻擊手段，利用瀏覽器內(nèi)置的Blob URI功能實(shí)施高度隱蔽的攻擊。這一手法不僅成功繞過(guò)了傳統(tǒng)的加密憑證保護(hù)機(jī)制，還因其罕見(jiàn)性，使得大部分AI安全防護(hù)程序難以察覺(jué)。

據(jù)網(wǎng)絡(luò)安全公司Cofense的最新研究報(bào)告，黑客首先通過(guò)釣魚(yú)郵件誘導(dǎo)用戶點(diǎn)擊看似來(lái)自可信域名的鏈接，如微軟的OneDrive。這些郵件能夠順利通過(guò)安全網(wǎng)關(guān)的檢測(cè)，從而增加了攻擊的成功率。一旦用戶點(diǎn)擊鏈接，他們會(huì)被重定向到一個(gè)中間網(wǎng)站，該網(wǎng)站看似無(wú)害，實(shí)則加載了攻擊者控制的HTML文件。

關(guān)鍵在于，這些HTML文件并不包含任何惡意代碼特征，因此能夠躲避傳統(tǒng)安全系統(tǒng)的檢測(cè)。然而，當(dāng)這些文件在受害者的瀏覽器中解碼后，會(huì)生成一個(gè)Blob URI。Blob URI，即二進(jìn)制大對(duì)象統(tǒng)一資源標(biāo)識(shí)符，是瀏覽器用來(lái)生成臨時(shí)本地內(nèi)容的協(xié)議，包括圖片、音頻和PDF等二進(jìn)制數(shù)據(jù)。通過(guò)Blob URI，攻擊者能夠在受害者的瀏覽器內(nèi)存中直接生成一個(gè)與微軟登錄界面完全一致的釣魚(yú)頁(yè)面，無(wú)需托管在公網(wǎng)服務(wù)器上。

一旦用戶在這個(gè)偽裝的登錄頁(yè)面上輸入賬號(hào)密碼，這些信息就會(huì)通過(guò)加密通道被傳輸?shù)焦粽叩姆?wù)器上，整個(gè)過(guò)程沒(méi)有任何異常跳轉(zhuǎn)提示，用戶往往難以察覺(jué)。由于釣魚(yú)頁(yè)面完全在受害者瀏覽器內(nèi)存中生成，并在會(huì)話結(jié)束后自動(dòng)銷(xiāo)毀，因此無(wú)法留存追溯證據(jù)，傳統(tǒng)的郵件網(wǎng)關(guān)和端點(diǎn)防護(hù)系統(tǒng)也無(wú)法掃描內(nèi)存中渲染的內(nèi)容。

Cofense情報(bào)團(tuán)隊(duì)負(fù)責(zé)人Jacob Malimban指出：“這種攻擊方式極大地增加了檢測(cè)和分析的難度。由于釣魚(yú)頁(yè)面通過(guò)Blob URI本地生成，常規(guī)的在線掃描機(jī)制已經(jīng)完全失效?！泵鎸?duì)這一新威脅，企業(yè)用戶需要采取更加嚴(yán)密的防護(hù)措施。建議部署防火墻即服務(wù)（FWaaS）實(shí)現(xiàn)登錄行為的實(shí)時(shí)監(jiān)控，采用零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA）限制敏感系統(tǒng)的訪問(wèn)權(quán)限，并強(qiáng)制啟用多因素認(rèn)證（MFA）作為關(guān)鍵系統(tǒng)訪問(wèn)的前置條件。

企業(yè)還應(yīng)定期開(kāi)展針對(duì)Blob URI攻擊場(chǎng)景的滲透測(cè)試，以評(píng)估和提升自身的安全防護(hù)能力。面對(duì)不斷演變的網(wǎng)絡(luò)威脅，保持警惕和持續(xù)更新安全防護(hù)策略至關(guān)重要。