Neuer BlobPhish-Angriff nutzt Browser-Blob-Objekte zum Stehlen von Benutzer-Login-Daten

Das Ergebnis ist eine Phishing-Nutzlast, die nur im Speicher existiert, keine Datei auf der Festplatte hinterlässt, keinen Cache-Artefakt und keine verdächtige HTTP-Anfrage in Proxy-Protokollen hinterlässt, die könnten. Schließen Sie die Lücke, bevor sie zu einem Geschäftsrisiko wird.

Gewähren Sie Ihrem SOC volle Sichtbarkeit auf verdächtige Aktivitäten.

BlobPhish-Angriff detoniert in der Sandbox Die Kampagne, erstmals im Oktober 2024 beobachtet, lief ununterbrochen seit über 18 Monaten und verzeichnete einen signifikanten Aktivitätsanstieg im Februar 2026, was sie als ausgereifte, gut gewartete Bedrohungsumgebung und nicht als kurzlebigen opportunistischen Angriff bestätigt.

Beschleunigen Sie Untersuchungen und stoppen Sie

Beschleunigen Sie Untersuchungen und stoppen Sie Vorfälle früher. Nutzen Sie Bedrohungsdaten, um die Sichtbarkeit.

Initialer Zugriff: Das Opfer erhält eine Phishing-E-Mail – oft imitiert sie eine Finanzwarnung, eine Rechnung oder einen Dokumentenaustausch – die einen Link zu einem vertrauenswürdig aussehenden Dienst wie DocSend oder eine gekürzte URL über t.co enthält.

Loader Execution: Das Klicken auf den Link leitet das Opfer auf eine , die einen JavaScript-Loader hostet.

Mithilfe ein verstecktes -Ankerelement, dekodiert eine

Mithilfe ein verstecktes -Ankerelement, dekodiert eine gebündelte Phishing-Payload mithilfe () aus Base64, konstruiert ein Blob-Objekt vom Typ text/html, generiert eine blob:https:// URL über window.URL.createObjectURL() und zwingt den Browser, zu dieser zu navigieren – und das alles ohne jegliche sichtbare Benutzerinteraktion.

Evidence Destruction: Unmittelbar nach der Navigation ruft der Loader window.URL.revokeObjectURL() auf und entfernt das Ankerelement aus dem DOM, wodurch jede verbleibende In-Memory-Spur der Loader-Operation zerstört wird.

Credential Harvest: Dem Opfer wird eine überzeugende Nachbildung einer Anmeldeseite für Microsoft 365, Chase, Capital One oder einen anderen Finanzdienst präsentiert. Die Browser-Adressleiste zeigt eine blob:https:// URL an, die für das ungeschulte Auge legitim erscheinen kann.

Ein fehlgeschlagener Anmelde-Zähler zwingt Opfer, Anmeldeinformationen

Ein fehlgeschlagener Anmelde-Zähler zwingt Opfer, Anmeldeinformationen mehrmals einzugeben und maximiert so die Genauigkeit der Ernte.

Die erfassten Daten werden über HTTP POST an Muster */res.php, */tele.php oder */panel.php exfiltriert – die hauptsächlich auf kompromittierten legitimen WordPress-Websites gehostet werden.

Datenexfiltrationsmuster BlobPhish umgeht herkömmliche Abwehrmechanismen BlobPhish gibt eine breite Palette ätigen Plattformen nach, darunter Microsoft 365, OneDrive, SharePoint, Chase, Capital One, FDIC, E*TRADE, Charles Schwab, Morgan Stanley/Merrill Lynch, American Express, PayPal und Intuit.

Phishing-Formular imitiert die Anmeldeseite der Chase

Phishing-Formular imitiert die Anmeldeseite der Chase Bank Obwohl Finanz- und Cloud-Produktivitäts-Lockstoffe dominieren, umfassen die Opferorganisationen die Sektoren Finanzen, Fertigung, Bildung, Regierung, Transport und Telekommunikation.

Geografisch gesehen sind ungefähr ein Drittel der beobachteten Opfer aus den USA, wobei zusätzliche Aktivitäten in Deutschland, Polen, Spanien, der Schweiz, dem Vereinigten Königreich, Australien, Südkorea, Saudi-Arabien, Katar, Jordanien, Indien und Pakistan verzeichnet wurden. Das Schema „blob:https://“ ist die Kern-Umgehungsinnovation der Kampagne.

Können URL-Reputations-Engines sie nicht blockieren – es gibt keine externe URL zum Scannen.

Zeigen Proxy-Protokolle keine verdächtigen Anfragen für

Zeigen Proxy-Protokolle keine verdächtigen Anfragen für die Phishing-Seite selbst.

Verpassen sichere E-Mail-Gateways (SEGs) die Nutzlast, die erst nach der Zustellung materialisiert.

Finden dateibasierte Endpunktlösungen nichts – es wird nie eine Datei auf die Festplatte geschrieben.

Kehren Cache-Forensik-Analysen leer – die Blob-URL

Kehren Cache-Forensik-Analysen leer – die Blob-URL wird widerrufen, bevor Ermittler sie inspizieren können.

Ein einziger erfolgreicher BlobPhish-Kompromittierung kann zu Business Email Compromise (BEC)-Betrug, einer vollständigen Übernahme des Microsoft 365-Tenants, unbefugten Überweisungen, Manipulation Ransomware nach lateraler Bewegung eskalieren.

Regulatorische Konsequenzen, einschließlich der 72-stündigen Meldepflicht nach DSGVO, der Offenlegung ällen gemäß SEC und der Authentifizierungsrichtlinien des FFIEC, fügen zusätzlich zum operativen Schaden ein erhebliches rechtliches Risiko hinzu.

Key Indicators of Compromise (IOCs) IOC-Typ

Key Indicators of Compromise (IOCs) IOC-Typ Beispiel Loader-URL hxxps[://]mtl-logistics[.]com/blb/blob[.]html Exfiltrations-Endpunkt hxxps[://]mtl-logistics[.]com/css/sharethepoint/point/res[.]php Capital One-Exfil hxxps[://]wajah4dslot[.]com/wp-includes/certificates/tmp//res[.]php Chase Banking-Exfil hxxps[://]hnint[.]net/cgi-bin/peacemind//res[.]php E*TRADE-Exfil hxxps[://]ftpbd[.]net/wp-content/plugins/cgi-/trade/trade//res[.]php tele.php-Variante hxxps[://]_wildcard_[.]gonzalezlawnandlandscaping[.]com/…/tele[.]php Zu den zusätzlich kompromittierten Domains gehören larva888[.]com, riobeautybrazil[.]com, i-seotools[.]com und mts-egy[.]net.

Bereitstellen , die in echten Browsern JavaScript ausführen können, um blob-basierte Payloads sicher zu detonieren, bevor sie Endbenutzer erreichen

Proaktiv suchen mithilfe der BlobPhishLoaderHTML YARA-Regel und URL-Pivot-Abfragen ( url:"/res.php$" , url:"*/blob.html$" ) in Threat-Intelligence-Plattformen

Erzwingen (FIDO2/Hardware-Schlüssel) für alle Microsoft 365-

Erzwingen (FIDO2/Hardware-Schlüssel) für alle Microsoft 365- und Bankportale, um die Ausbreitungsgefahr nach einer Kompromittierung zu begrenzen

Integrieren , die BlobPhish IOCs automatisch in Firewalls, Proxys und SIEM-Regeln einspeisen, wenn die Angreiferinfrastruktur rotiert

Mitarbeiter schulen, um unerwartete blob:https:// URLs in der Browser-Adressleiste als Warnsignal zu erkennen BlobPhish zeigt, dass die Phishing-Bedrohung die Perimeter- und statischen Signatur-Verteidigungssysteme überholt hat.

Effektiver Schutz erfordert heute dynamische Verhaltensanalysen,

Effektiver Schutz erfordert heute dynamische Verhaltensanalysen, kontinuierliches Threat Hunting und automatisierte Intelligenzverbreitung, die mit der Geschwindigkeit der Rotation Credential-Angriffe mit Enterprise-Grade-Intelligenz.

Reduzieren Sie das Risiko, nicht nur die Reaktionszeit. Der Artikel „Post New BlobPhish Attack Leverages Browser Blob Objects to Steal Users’ Login Credentials“ erschien zuerst bei Cyber Security News.