Theo TechRadar, các nhà nghiên cứu đã phát hiện ra rằng chế độ Application Mode của Google Chrome có thể bị lạm dụng để phục vụ cho các hành động lừa đảo.
Được sử dụng để cung cấp cho người dùng ChromeOS một giao diện được tối giản hóa dành cho một số trang web nhất định như YouTube, khi khởi chạy, Application Mode sẽ hiển thị một cửa sổ trình duyệt mới mà không có thanh địa chỉ, thanh công cụ, thậm chí thanh taskbar của Windows sẽ hiển thị biểu tượng trang web thay vì biểu tượng của trình duyệt Chrome như thường lệ.
Nhưng chế độ này có thể bị lạm dụng, theo nhà nghiên cứu an ninh mạng mr.d0x, nếu kẻ tấn công đánh lừa người dùng chạy shortcut có chứa một đường dẫn (URL) lừa đảo bằng tính năng Application Mode, người dùng sẽ chỉ thấy một trang web đơn giản với nội dung chỉ có ô đăng nhập truyền thống. Tuy nhiên, trên thực tế, đó là một trang lừa đảo để đánh cắp dữ liệu đăng nhập của nạn nhân.
Kể từ khi Microsoft chuyển sang mục tiêu trấn áp sang các tệp Office độc hại, tội phạm mạng đã hướng tới các tệp shortcut của Windows (.LNK).
Các chuyên gia an ninh mạng kể từ đó đã phát hiện ra vô số chiến dịch tấn công đã tận dụng thành công tệp .LNK để phân phối rất nhiều loại virus và phần mềm độc hại, từ QBot, đến BazarLoader và hơn thế nữa.
Giải thích về phương pháp tấn công mới này, mr.d0x cho biết kẻ xấu có thể sử dụng tệp shortcut được chèn đường dẫn theo cú pháp dưới đây, từ đó để khởi chạy một ứng dụng kiểu “applet” lừa đảo trên thiết bị đầu cuối của nạn nhân.
Trên Chrome:
"C:\Program Files\Google\Chrome\Application\chrome.exe" --app=https://example.com
Trên Microsoft Edge:
"C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --app=https://example.com
Có nhiều cách để lạm dụng lỗ hổng này, mr.d0x nói thêm, bao gồm quyền truy cập vào thiết bị đích, sử dụng tệp HTML di động có nhúng tham số “--app” hoặc sử dụng kỹ thuật Browser-in-the-Browser để thêm thanh địa chỉ giả mạo. Thậm chí, cuộc tấn công cũng có thể được thực hiện trên các thiết bị macOS và Linux.