Twoje konto może zostać przejęte bez złamanego hasła

phishing rozszerzenie faktura szkolenia i symulacje

Badacze z Malwarebytes opisali kampanię phishingową, w której punktem wejścia jest załącznik podszywający się pod fakturę PDF. Plik nosi nazwę w stylu Faktura-2819889242.pfd.js, ale wyświetlany jest jako Faktura-26189991026.pdf – różnica jednej litery w rozszerzeniu (.pfd.js zamiast .pdf) wystarcza, żeby uśpić czujność.

W rzeczywistości to zaciemniony plik JavaScript, który zrzuca kolejne pliki do folderu tymczasowego i uruchamia dalszy łańcuch infekcji.

Jak to działa – od skryptu do przejęcia konta

Skrypt PowerShell przygotowuje rozszerzenie do Chrome i zmienia ustawienia polityk przeglądarki tak, by instalacja wyglądała jak wdrożenie kontrolowane przez administratora, a nie zwykła instalacja dodatku przez użytkownika.

Po aktywacji rozszerzenie razem ze swoim komponentem natywnym zbiera ciasteczka przeglądarki, otwarte karty, adresy URL, ustawienia językowe i dane do fingerprintingu. Operatorzy wykorzystują to również jako kanał zdalnych poleceń – mogą uruchamiać PowerShell i przeglądać zawartość dysku C.

Najciekawszy i najbardziej niepokojący element ataku to wykorzystanie mechanizmu Chrome Native Messaging jako mostu między piaskownicą przeglądarki a systemem operacyjnym. To funkcja, która pozwala rozszerzeniom komunikować się z zarejestrowanym hostem natywnym. Atakujący uzbroili ją tak, by rozszerzenie stało się kontrolerem lokalnego wykonywania kodu – samo nie odpala PowerShella, tylko wysyła polecenia do hosta natywnego, który robi to za nie.

Dlaczego to ważniejsze niż kradzież hasła

Skradzione, uwierzytelnione ciasteczka sesji dają atakującym coś więcej niż hasło – dają dostęp do już zalogowanej sesji w przeglądarce ofiary. To oznacza ominięcie uwierzytelniania wieloskładnikowego (MFA), bo sesja jest już aktywna. Nie trzeba znać hasła ani przechodzić drugiego etapu logowania – wystarczy podszyć się pod istniejącą, zaufaną sesję.

To scenariusz, o którym mówię zarządom podczas rozmów o NIS2 – MFA jest konieczne, ale traktowanie go jako „końca tematu” to błąd, który kosztuje.

Co możesz zrobić już dziś

Kilka konkretnych kroków, które ograniczają ryzyko tego typu ataku:

  • Nie otwieraj załączników od nadawców, których nie możesz zweryfikować – to pierwsza linia obrony.
  • Sprawdzaj rzeczywiste rozszerzenie pliku, nie tylko tę wyświetlaną nazwę.
  • Używaj aktualnego, działającego w czasie rzeczywistym rozwiązania antymalware.
  • Regularnie przeglądaj zainstalowane rozszerzenia Chrome i usuwaj te, których nie rozpoznajesz lub już nie używasz.
  • Wylogowuj się z ważnych kont po zakończeniu pracy – to unieważnia sesję, więc nawet skradzione ciasteczko staje się bezużyteczne.
  • Sprawdzaj historię logowań do kluczowych kont – większość usług pokazuje, z jakich urządzeń i kiedy ktoś się logował.

🔎 Czy Twoi pracownicy rozpoznaliby taki phishing?

Większość użytkowników nie zauważy różnicy między .pdf a .pfd.js. Właśnie dlatego regularne szkolenia i kontrolowane kampanie phishingowe są dziś jednym z najskuteczniejszych elementów ochrony organizacji.

Zobacz, jak testujemy pracowników

Dlaczego to temat dla zarządu, nie tylko dla IT

Ten atak nie wymaga zaawansowanego exploita – wymaga jednej niedomkniętej procedury i jednego kliknięcia. W kontekście NIS2 i osobistej odpowiedzialności kadry zarządzającej to typ incydentu, który trafia potem do raportu dla organu nadzorczego.

Czy Twoja firma jest przygotowana na taki scenariusz ataku?

Phishing, przejęcie aktywnej sesji przeglądarki czy złośliwe rozszerzenia to zagrożenia, które coraz częściej omijają klasyczne zabezpieczenia. Wystarczy jedno kliknięcie, aby atakujący uzyskał dostęp do firmowych zasobów.

Podczas audytu sprawdzimy, czy Twoja organizacja jest przygotowana na tego typu ataki, wskażemy najsłabsze ogniwa i zaproponujemy konkretne działania ograniczające ryzyko.

Umów bezpłatną konsultację
Źródła

Komentarze

Nie ma jeszcze komentarzy. Może zaczniesz dyskusję?

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *