Neuer BlobPhish-Angriff nutzt Browser-Blob-Objekte zum Stehlen von Benutzer-Login-Daten

Sicherheitslage und Risiko

Mithilfe unsichtbar ein verstecktes -Ankerelement, dekodiert eine gebündelte Phishing-Payload mithilfe () aus Base64, konstruiert ein Blob-Objekt vom Typ text/html, generiert eine blob:https:// URL über window.URL.createObjectURL() und zwingt den Browser, zu dieser zu navigieren – und das alles ohne jegliche sichtbare Benutzerinteraktion.

Evidence Destruction: Unmittelbar nach der Navigation ruft der Loader window.URL.revokeObjectURL() auf und entfernt das Ankerelement aus dem DOM, wodurch jede verbleibende In-Memory-Spur der Loader-Operation zerstört wird.

Credential Harvest: Dem Opfer wird eine überzeugende Nachbildung einer Anmeldeseite für Microsoft 365, Chase, Capital One oder einen anderen Finanzdienst präsentiert. Die Browser-Adressleiste zeigt eine blob:https:// URL an, die für das ungeschulte Auge legitim erscheinen kann.

Ein fehlgeschlagener Anmelde-Zähler zwingt Opfer, Anmeldeinformationen

Ein fehlgeschlagener Anmelde-Zähler zwingt Opfer, Anmeldeinformationen mehrmals einzugeben und maximiert so die Genauigkeit der Ernte.

Die erfassten Daten werden über HTTP POST an dem Muster */res.php, */tele.php oder */panel.php exfiltriert – die hauptsächlich auf kompromittierten legitimen WordPress-Websites gehostet werden.

Datenexfiltrationsmuster BlobPhish umgeht herkömmliche Abwehrmechanismen BlobPhish gibt eine breite Palette ätigen Plattformen nach, darunter Microsoft 365, OneDrive, SharePoint, Chase, Capital One, FDIC, E*TRADE, Charles Schwab, Morgan Stanley/Merrill Lynch, American Express, PayPal und Intuit.

Sicherheitslage und Risiko

Phishing-Formular imitiert die Anmeldeseite der Chase Bank Obwohl Finanz- und Cloud-Produktivitäts-Lockstoffe dominieren, umfassen die Opferorganisationen die Sektoren Finanzen, Fertigung, Bildung, Regierung, Transport und Telekommunikation.

Geografisch gesehen sind ungefähr ein Drittel der beobachteten Opfer aus den USA, wobei zusätzliche Aktivitäten in Deutschland, Polen, Spanien, der Schweiz, dem Vereinigten Königreich, Australien, Südkorea, Saudi-Arabien, Katar, Jordanien, Indien und Pakistan verzeichnet wurden. Das Schema „blob:https://“ ist die Kern-Umgehungsinnovation der Kampagne.

Können URL-Reputations-Engines sie nicht blockieren – es gibt keine externe URL zum Scannen.

Sicherheitslage und Risiko

Zeigen Proxy-Protokolle keine verdächtigen Anfragen für die Phishing-Seite selbst.

Verpassen sichere E-Mail-Gateways (SEGs) die Nutzlast, die erst nach der Zustellung materialisiert.

Finden dateibasierte Endpunktlösungen nichts – es wird nie eine Datei auf die Festplatte geschrieben.

Einordnung fuer Autofahrer

Kehren Cache-Forensik-Analysen leer – die Blob-URL wird widerrufen, bevor Ermittler sie inspizieren können.

Ein einziger erfolgreicher BlobPhish-Kompromittierung kann zu Business Email Compromise (BEC)-Betrug, einer vollständigen Übernahme des Microsoft 365-Tenants, unbefugten Überweisungen, Manipulation eskalieren.

Regulatorische Konsequenzen, einschließlich der 72-stündigen Meldepflicht nach DSGVO, der Offenlegung ällen gemäß SEC und der Authentifizierungsrichtlinien des FFIEC, fügen zusätzlich zum operativen Schaden ein erhebliches rechtliches Risiko hinzu.

Technischer Hintergrund

Key Indicators of Compromise (IOCs) IOC-Typ Beispiel Loader-URL hxxps[://]mtl-logistics[.]com/blb/blob[.]html Exfiltrations-Endpunkt hxxps[://]mtl-logistics[.]com/css/sharethepoint/point/res[.]php Capital One-Exfil hxxps[://]wajah4dslot[.]com/wp-includes/certificates/tmp//res[.]php Chase Banking-Exfil hxxps[://]hnint[.]net/cgi-bin/peacemind//res[.]php E*TRADE-Exfil hxxps[://]ftpbd[.]net/wp-content/plugins/cgi-/trade/trade//res[.]php tele.php-Variante hxxps[://]_wildcard_[.]gonzalezlawnandlandscaping[.]com/…/tele[.]php Zu den zusätzlich kompromittierten Domains gehören larva888[.]com, riobeautybrazil[.]com, i-seotools[.]com und mts-egy[.]net.

Bereitstellen, die in echten Browsern JavaScript ausführen können, um blob-basierte Payloads sicher zu detonieren, bevor sie Endbenutzer erreichen

Proaktiv suchen mithilfe der BlobPhishLoaderHTML YARA-Regel und URL-Pivot-Abfragen ( url:"/res.php$", url:"*/blob.html$" ) in Threat-Intelligence-Plattformen

Technik und Auswirkungen

Erzwingen (FIDO2/Hardware-Schlüssel) für alle Microsoft 365- und Bankportale, um die Ausbreitungsgefahr nach einer Kompromittierung zu begrenzen

Integrieren, die BlobPhish IOCs automatisch in Firewalls, Proxys und SIEM-Regeln einspeisen, wenn die Angreiferinfrastruktur rotiert

Mitarbeiter schulen, um unerwartete blob:https:// URLs in der Browser-Adressleiste als Warnsignal zu erkennen BlobPhish zeigt, dass die Phishing-Bedrohung die Perimeter- und statischen Signatur-Verteidigungssysteme überholt hat.

Sicherheitslage und Risiko

Effektiver Schutz erfordert heute dynamische Verhaltensanalysen, kontinuierliches Threat Hunting und automatisierte Intelligenzverbreitung, die mit der Geschwindigkeit der Rotation hochriskante Credential-Angriffe mit Enterprise-Grade-Intelligenz.

Reduzieren Sie das Risiko, nicht nur die Reaktionszeit. Der Artikel „Post New BlobPhish Attack Leverages Browser Blob Objects to Steal Users’ Login Credentials“ erschien zuerst bei