IT之家 5 月 11 日消息，網(wǎng)絡(luò)安全公司 Cofense 本周四發(fā)布了最新研究報告，稱黑客組織正利用瀏覽器原生功能 Blob URI 實施高隱蔽性釣魚攻擊，該手法可規(guī)避傳統(tǒng)加密憑證保護(hù)機(jī)制。由于這種攻擊十分少見，絕大部分 AI 安全防護(hù)程序都無法分析識別。

公開資料顯示，Blob URI（Binary Large Object Uniform Resource Identifier）是瀏覽器生成臨時本地內(nèi)容的協(xié)議，典型的 Blob 包括圖片、音頻和 PDF 文件等二進(jìn)制數(shù)據(jù)。其核心特征包括：

• 攻擊頁面完全在受害者瀏覽器內(nèi)存中生成，無需托管于公網(wǎng)服務(wù)器（IT之家注：Blob URI 會以“blob:http://”或“blob:https://”為開頭呈現(xiàn)）

• 所有交互內(nèi)容在會話結(jié)束后自動銷毀，無法留存追溯證據(jù)

• 傳統(tǒng)郵件網(wǎng)關(guān)（SEG）和端點防護(hù)系統(tǒng)無法掃描內(nèi)存中渲染內(nèi)容

攻擊流程：

• 初始誘導(dǎo)：釣魚郵件以可信域名鏈接（例如微軟 OneDrive 等網(wǎng)站），通過安全網(wǎng)關(guān)檢測

• 中間加載：鏈接頁面加載攻擊者控制的 HTML 文件，而該文件不含惡意代碼特征

• 本地渲染：HTML 文件在受害者瀏覽器解碼生成 Blob URI，呈現(xiàn)與微軟登錄界面完全一致的釣魚頁面

• 憑證竊?。河脩糨斎氲馁~號密碼通過加密通道傳輸至攻擊者服務(wù)器，全程無異常跳轉(zhuǎn)提示

Cofense 情報團(tuán)隊負(fù)責(zé)人 Jacob Malimban 表示“這種攻擊方式使得檢測和分析變得異常困難。由于釣魚頁面通過 Blob URI 本地生成，常規(guī)的在線掃描機(jī)制已完全失效”。對于企業(yè)用戶，建議：

• 部署防火墻即服務(wù)（FWaaS）實現(xiàn)登錄行為實時監(jiān)控

• 采用零信任網(wǎng)絡(luò)訪問（ZTNA）限制敏感系統(tǒng)訪問權(quán)限

• 強(qiáng)制啟用多因素認(rèn)證（MFA）作為關(guān)鍵系統(tǒng)訪問前置條件

• 定期開展基于 Blob URI 攻擊場景的滲透測試

參考資料：

• 《Blob URI Phishing Technique Detected by Cofense》

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。