#news После атак браузер-в-браузере mr.d0x представляет эксплойт для режима приложений в Хромиуме. Он позволяет создать фишинговые окна для логина, почти не отличимые от оригинальных. В атаке используется ярлык, который абьюзит параметр командной строки --app, чтобы вести на фишинговый сайт. Базовые навыки HTML/CSS у злоумышленника для клонирования страницы, кликнувший по ярлыку пользователь, и готово — перед ним фейковое окно логина, любезно предоставленное Хромиумом.
Для фишинга сойдут HTML-файлы и ярлыки под повсеместно установленный Microsoft Edge. С соответствующими командами и браузерами эксплойт работает под макось и линукс. И хотя метод требователен на невнимательного юзера, у атаки есть неплохой потенциал.
@tomhunter
