Новая фишинговая кампания использует Microsoft Edge WebView2 для кражи cookie файлов жертвы, позволяя злоумышленнику обходить многофакторную аутентификацию (МФА) при входе в украденную учетную запись. Microsoft Edge WebView2 позволяет встроить веб-браузер в приложения, используя Microsoft Edge в качестве механизма рендеринга. Используя эту технологию, приложения могут загружать любой веб-сайт и отображать его во встроенном браузере. Однако, WebView2 также позволяет разработчику напрямую обращаться к cookie файлам и внедрять JavaScript на веб-страницу, что делает его отличным инструментом для регистрации нажатий клавиш и кражи cookie файлов для проверки подлинности, а затем отправки их на удаленный сервер. Новая кампания « WebView2-Cookie-Stealer » использует социальную инженерию и состоит из исполняемого файла WebView2, который при запуске открывает в приложении форму входа на легитимный веб-сайт. В PoC-атаке исследователя кибербезопасности mr.d0x исполняемый файл открыл форму входа в Microsoft с помощью WebView2. Поскольку приложение WebView2 может внедрять JavaScript на страницу, все нажатия клавиш пользователя автоматически отправляются обратно на веб-сервер злоумышленника. Киберпреступник также может украсть cookie файлы (включая cookie файлы для аутентификации) после входа пользователя в систему. Затем злоумышленник может перейти к форме входа для скомпрометированной учетной записи и импортировать cookie файлы для автоматической аутентификации на сайте. Атака позволяет киберпреступнику обойти МФА, поскольку cookie файлы украдены после входа пользователя в систему и прохождения им многофакторной аутентификации. «Этот метод социальной инженерии требует, чтобы злоумышленник убедил пользователя загрузить и запустить вредоносное приложение. Мы рекомендуем пользователям избегать запуска или установки приложений из неизвестных источников, а также поддерживать актуальным антивирусное ПО», — заявила Microsoft.