研究人员披露利用微软WebView2应用绕过MFA的钓鱼方法

据外媒报道，一种新型网络钓鱼技术使用Microsoft Edge WebView2应用程序窃取受害者的身份验证cookie，使攻击者在登录被盗账户时绕过多因素身份验证(MFA）。这种新的社会工程攻击被称为WebView2-Cookie-Stealer，其包含一个WebView2可执行文件，当启动时，其会在应用程序中打开一个合法网站的登录表单。由于WebView2应用程序可以将JavaScript注入页面，因此用户键入的任何类容会自动发送回攻击者的Web服务器。