Традиционные методы фишинга уже не работают, а современные системы, для повышения безопасности, поддерживают многофакторную аутентификацию (MFA). Однако злоумышленники развиваются и используют новые методы, такие как Evil-noVNC — современная атака Browser-in-the-Browser (BitB), которая применяет noVNC для проведения чрезвычайно правдоподобных фишинговых кампаний.

Evil-noVNC позволяет киберпреступникам воспроизводить реальные страницы входа прямо в браузере жертвы, отображая подлинные страницы аутентификации таких сервисов, как Gmail, Microsoft 365 и Okta. Эта передовая атака типа Adversary-in-the-Middle (AiTM) перехватывает не только логины и пароли, но и токены многофакторной аутентификации с активной сессионной кукой, что позволяет полностью скомпрометировать аккаунт даже при включённой MFA.

В этой статье разберемся, как работает Evil-noVNC, почему это растущая угроза в 2025 году и как защититься от этой фишинговой техники.

Содержание

- Обзор
- Требования
- Настройка
- Запуск
- Меры защиты
- Заключение

Обзор

EvilnoVNC — продвинутый метод фишинга типа Adversary-in-the-Middle (AiTM), который позволяет злоумышленникам полностью обходить многофакторную аутентификацию (MFA), перехватывая данные активных сессий.

Как это работает:

• Злоумышленник настраивает сессию браузера внутри виртуального рабочего стола VNC/X11.

• Затем, с помощью noVNC, эта сессия делается общедоступной через интернет, что обеспечивает удалённое взаимодействие с браузером.

• В этом виртуальном браузере злоумышленник загружает реальную страницу входа (например, Gmail, Microsoft 365).

• Фишинговая ссылка на эту сессию доставляется жертве по электронной почте, через QR-код или иными средствами социальной-инженерии.

• Пока жертва взаимодействует с подлинным интерфейсом входа, злоумышленник скрытно перехватывает учётные данные, коды MFA и cookie, что позволяет полностью захватить аккаунт.

Эта техника выглядит максимально правдоподобно, что превращает EvilnoVNC в мощный инструмент современного фишинга.

Требования

• Kali Linux или любой другой дистрибутив Linux с установленными Python и Docker

• Скопированный репозиторий EvilnoVNC (GitHub)

• Python3

• Chromium

Настройка

Загрузите репозиторий EvilnoVNC и установите все необходимые зависимости (Python3, Flask, пакеты для noVNC и X11).

git clone https://github.com/JoelGMSec/EvilnoVNC

cd EvilnoVNC

sudo chown -R 103 Downloads

Настройте необходимые права доступа.

Инструмент упакован в Docker-образ и подготовлен для запуска в контейнере.

Запуск Evil-noVNC с целевой фишинговой страницей

sudo chmod +x *

sudo ./start.sh 1920x1080x24 https://mail.google.com

Сперва делаем все скрипты исполняемыми, затем запускаем виртуальный рабочий стол, с указанным разрешением, внутри Docker-контейнера и открываем в браузере реальную страницу входа в Gmail, предоставляя к ней интерактивный доступ через noVNC и WebSockets.

Глазами жертвы – Обманчивая ссылка

Получив фишинговую ссылку (электронное письмо, SMS, QR) и открыв ее, мы видим подлинную страницу входа Google, но она отображается через noVNC злоумышленника; в этом и заключается суть обмана. Далее следует знакомый процесс входа.

Сначала мы вводим адрес электронной почты.

Затем пароль

Наконец, мы проходим многофакторную аутентификацию (MFA).

Каждый наш шаг виден злоумышленнику в реальном времени; включая наши учётные данные, коды MFA и сессионные cookie, что даёт ему полный доступ к нашей учётной записи.

Примечание: Основная идея заключается в том, что noVNC отображает реальную страницу входа так, что визуально она неотличима от вкладки обычного браузера, это делает технику Browser-in-the-Browser (BitB) гораздо убедительнее, чем традиционные фишинговые страницы или HTML-клоны.

Жертва открывает ссылку на http://192.168.1.39, не подозревая, что попалась на крючок, взаимодействуя с настоящим интерфейсом Gmail, запущенным внутри VNC-браузера злоумышленника; при этом все действия скрытно фиксируются.

Примечание: Страница входа в Gmail не является поддельным клоном, а представляет собой реальный интерфейс Gmail, загруженный внутри VNC-браузера злоумышленника. Поскольку доступ осуществляется через noVNC, все введенные данные отображаются злоумышленнику.

Взгляд со стороны злоумышленника — контролируемый браузер

Gmail остаётся открытым на нашем (злоумышленника) хосте, предоставляя возможность в реальном времени наблюдать за действиями жертвы через VNC. Это демонстрирует возможности Evil-noVNC по обеспечению полного интерактивного контроля без внедрения кода или проксирования.

Ключевое преимущество

Такая атака позволяет злоумышленникам в реальном времени перехватывать учётные данные. Атакующие могут обходить MFA и получать сессионные токены сразу после входа, а также полностью контролировать сессию жертвы.

Жертва использует Gmail внутри VNC-сессии, размещённой у атакующего. Атакующий локально наблюдает и управляет сессией, обходя традиционные механизмы обнаружения фишинга и похищая полностью аутентифицированные сессии в реальном времени.

Затем атакующий извлекает сессионные куки из своего (злоумышленника) браузера. Эти куки импортируются в Chromium, что даёт полный доступ к аккаунту без фишинговых артефактов, внедрения кода или проксирования трафика.

chrome://history покажет историю жертвы, так как сессия была инициирована и выполнялась в браузере, контролируемом злоумышленником через Evil-noVNC.

Evil-noVNC записывает нажатия клавиш жертвы. Открыв каталог /novnc/download/, можно найти файлы с выводом кейлоггера, содержащие захваченные вводимые данные. В них могут быть имя пользователя и пароль от Gmail жертвы, введённые при входе.

Внутри каталога /novnc/download/ также можно найти файл cookies.txt, содержащий экспортированные сессионные cookie из браузера.

Вы можете импортировать эти cookie в другой браузер, например Chromium, чтобы мгновенно перехватить аутентифицированную сессию жертвы без необходимости снова проходить MFA.

Меры защиты

• Используйте устойчивую к фишингу MFA (WebAuthn, Passkeys)

• Отслеживайте подозрительные noVNC-сессии или инструменты туннелирования

• Обращайте внимание на предупреждения от браузера

• Обучайте пользователей распознавать BitB-фишинг (аномалии UI, всплывающие окна)

• Используйте привязанные к устройству токены аутентификации (OAuth device binding)

Заключение

Evil-noVNC — это не просто фишинговая страница; это живое окружение «злоумышленник посередине». Он эффективно обходит MFA, заставляя жертву взаимодействовать с реальными сайтами, в то время как злоумышленник в реальном времени перехватывает учётные данные и сессии.

Понимание того, как это работает, — первый шаг к построению защиты.

Еще больше познавательного контента в Telegram-канале — Life-Hack - Хакер