2026-05-01 05:12:17 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： BlobPhish是自2024年10月起持续活跃的高级网络攻击，利用浏览器BlobAPI在内存中生成钓鱼页面窃取凭证。攻击通过邮件诱导点击中介页面，加载隐藏的恶意脚本生成blob链接跳转至伪造登录页，实时拦截用户输入并发送至C2服务器。防御建议包括部署沙箱分析、启用多因素认证、监控IOC指标以及识别blob链接特征。 综合评分： 85 文章分类： 漏洞分析,威胁情报,安全意识,解决方案,WEB安全

cover_image

隐形刺客BlobPhish：你的密码正在浏览器内存中被无声窃取

邑安科技邑安科技

邑安全

2026年4月29日 15:06 广东

在小说阅读器读本章

去阅读

更多全球网络安全资讯尽在邑安全

一个细思极恐的场景

先想象一下这样的画面：

你收到一封来自“银行安全部门”的紧急邮件，说你账户存在异常登录风险，需要立即验证。邮件里的链接指向的是一段看似正常的网址，点击后浏览器地址栏显示的是熟悉的银行官方域名，登录页面也做得和真的一模一样——Logo、配色、表单布局，一切都严丝合缝。

然而，此时此刻，一个“隐形刺客”就潜伏在你的浏览器内存深处。你输入的每一个字符，都在被实时传送到攻击者的服务器上。而你的杀毒软件、URL过滤器，甚至高级终端防护系统，对此浑然不觉。

这并非科幻电影，而是2024年10月以来真实上演的、代号为“BlobPhish”的全球性网络攻击事件。

01. 什么是BlobPhish？

BlobPhish是一场自2024年10月起活跃至今的大规模凭证窃取行动，至今已持续超过18个月。2026年2月，攻击活动出现了一次显著的大规模爆发。

研究人员将其描述为一次“成熟、高度活跃且持续进化”的威胁行动，而非普通的短期钓鱼攻击。

BlobPhish的出现，彻底改变了传统的钓鱼攻击玩法——攻击者们不再需要在互联网服务器上托管“钓鱼页面”，而是直接在受害者的浏览器内存里实时生成一个虚假登录页面，引诱用户主动输入账户和密码。

这一手法的关键是利用了网页浏览器内置的 Blob API（Binary Large Object 应用程序接口）。Blob本来是为了方便浏览器临时存储本地数据而生，例如当你看一段YouTube视频时，它就被浏览器临时存放在内存空间中。

攻击者将这段代码巧妙利用：他们把恶意登录页面的HTML代码通过 Blob() 打包成一个二进制对象，再用 window.URL.createObjectURL() 函数为这个“内存里的页面”生成了一个地址。最后，浏览器的地址栏中，会出现一段开头为 blob:https:// 的特殊链接。

02. 为什么会如此危险？

对于未经专业训练的普通用户来说，看到浏览器地址栏里出现熟悉的域名，大概率会以为是安全的。然而，BlobPhish最可怕的地方在于：它留下的“痕迹”几乎等于零：

✅ 没有文件落地——钓鱼网页从未写入硬盘，杀毒软件根本无法扫描到；
✅ 没有可疑的URL——地址栏可能显示的是合法“中介页面”的域名，传统URL过滤规则形同虚设；
✅ 没有HTTP流量记录——真正的钓鱼页面从未通过网络传输过，代理服务器的日志里找不到任何请求；
✅ 用完即销毁、无法溯源——Blob URL在攻击结束的瞬间便被系统删除，安全取证一无所获。

这就像是攻击者派出了一个幽灵：进门时看不见，走了之后也找不到任何线索。

03. 真实攻击过程深度拆解

根据安全机构 ANY.RUN 的持续跟踪监控，典型的BlobPhish攻击遵循如下“四步连环杀”链路：

🕳️ 第一步：伪装钓鱼邮件

攻击开端往往是一封精心伪装的邮件：主题常见为“年度税务报表更新”、“加密文件待查收”、“账户异常请登录确认”。其中的链接大多托管于OneDrive、DocSend等被公认为“可信”的第三方平台，可以轻松绕过常规邮件安全网关（SEGs）的筛查。部分能源行业的攻击案例中还出现PDF附件携带恶意二维码的手法。

🕳️ 第二步：中介页面暗藏机关

用户点击邮件链接后，进入的是一个看起来非常正常的中介页面（如在OneDrive上）。但页面后台实际上偷偷执行着一段JavaScript「加载器」。攻击流程一般包含几个关键的步骤：

利用对应的脚本代码，将一张“隐藏的空白页面”塞入当前页面；
将携带完整钓鱼网页HTML代码的恶意脚本，从后台服务器拉取回来；
使用 Base64解码 展开陷阱网页全文；
构造一个包含完整钓鱼页面HTML的 Blob；
调用 window.URL.createObjectURL 创建 blob:https:// 链接；
在用户毫不知情的情况下让浏览器自动跳转至该Blob链接。

🕳️ 第三步：完美克隆的钓鱼页面加载

刹那间，一个高仿真的登录页面就在用户的浏览器当前页面里呈现出来。随后，浏览器地址栏依然显示着“合法域名”，页面Logo、字体、颜色乃至部分二次验证（Captcha）页面也被高度还原，与真实的登录页面几乎毫无二致。

🕳️ 第四步：凭证捕获与黑产输送

一旦用户在伪造页面上输入自己的账号密码，恶意脚本会以最快速度拦截用户名与密码数据，并通过加密的HTTP POST请求实时传送至攻击者控制的C2（命令与控制）服务器（如 */res.php、*/tele.php 或 */panel.php）。

部分变种攻击还开启了“二次登录”陷阱——系统故意提示“密码错误，请重新输入”，从而确保黑客到手的信息准确无误。

至此，一次完整的网络攻击大功告成。而这整个过程，或许只发生在短短的 30秒之内。

04. 谁的账户最危险？

BlobPhish攻击者仿冒的“钓鱼界面”几乎涵盖了所有高价值网络服务的登录入口：

Microsoft 365（企业/个人）；
美国各大银行：摩根大通（Chase）、第一资本（Capital One）、美国运通（American Express）、美国联邦存款保险公司（FDIC）等；
投资理财网站：亿创理财（E*TRADE）、嘉信理财（Charles Schwab）、美林财富管理（Merrill Lynch）；
其他： PayPal、Intuit、OneDrive、SharePoint等。

从地域分布来看，全球约有三分之一的受害用户位于美国本土，其余受害者分散在德国、波兰、西班牙、瑞士、英国、澳大利亚、韩国、沙特、卡塔尔、约旦、印度等多个国家。

从行业分布分析，除了直接遭受伤害的金融服务业外，制造业、政府机关、教育机构、交通与电信部门，也都是BlobPhish瞄准的重点目标。