MKD-CIRT National Centre for Computer Incident Response
Новиот „File Archiver in the Browser“ phishing комплет ги злоупотребува ZIP домените со прикажување лажни WinRAR или Windows File Explorer прозори во прелистувачот за да ги убеди корисниците да стартуваат малициозни датотеки.
На почетокот на овој месец, Google започна да нуди можност за регистрирање ZIP TLD домени, како што е bleepingcomputer.zip, за хостирање веб-страници или мејл адреси.
Од објавувањето на TLD, имаше доста дебати околу тоа дали тие се грешка и дали претставуваат ризик по сајбер безбедноста за корисниците.
Додека некои експерти веруваат дека стравовите се претерани, главната грижа е дека некои сајтови автоматски ќе претворат низа што завршува со „.zip“, како што е setup.zip, во линк што може да се кликне и кој може да се користи за испорака на малициозен софтвер или phishing напади.
На пример, ако некому му испратите инструкции за преземање датотека наречена setup.zip, Twitter автоматски ќе го претвори setup.zip во линк, со што луѓето мислат дека треба да кликнат на него за да ја преземат датотеката.
Кога ќе кликнете на тој линк, вашиот прелистувач ќе се обиде да ја отвори https://setup.zip страницата, која може да ве пренасочи на друга страница, да прикаже HTML страница или да ве поттикне да преземете датотека.
Сепак, како и сите кампањи за испорака на малициозен софтвер или phishing, прво мора да го убедите корисникот да отвори датотека, што може да биде предизвик.
Истражувачот за безбедност mr.d0x разви паметен phishing пакет со алатки кој ви овозможува да креирате лажни WinRar инстанци во прелистувачот и Windows Explorer на датотеки кои се прикажуваат на ZIP домени со цел да ги измамат корисниците да мислат дека се отворени .zip-датотеки.
„Со овој phishing напад, вие симулирате софтвер за архивирање датотеки (на пр. WinRAR) во прелистувачот и користите .zip домен за да изгледа полегитимно“, се објаснува во новата објава на блогот на истражувачот.
Во демонстрација споделена со BleepingComputer, комплетот со алатки може да се користи за да се вгради лажен WinRar прозорец директно во прелистувачот кога ќе се отвори .zip доменот, со што изгледа дека корисникот отворил ZIP архива и сега ги гледа датотеките во неа.
Иако изгледа убаво кога се прикажува во прелистувачот, сјае како скокачки прозорец, бидејќи можете да ја отстраните лентата за адреси и лентата за лизгање, оставајќи го она што изгледа како WinRar прозорец прикажан на екранот.
За да го направат лажниот WinRar прозорец уште поубедлив, истражувачите имплементирале лажно безбедносно Scan копче кое, кога ќе се кликне, покажува дека датотеките биле скенирани и не биле откриени закани.
Додека комплетот со алатки сè уште ја прикажува лентата за адреси на прелистувачот, сепак веројатно ќе измами некои корисници да мислат дека ова е легитимна WinRar архива. Понатаму, креативните CSS и HTML најверојатно би можеле да се користат за дополнително да се усоврши комплетот со алатки.
mr.d0x, исто така, создаде друга варијанта што прикажува лажен Windows File Explorer во прелистувачот кој се преправа дека отвора ZIP-датотека. Овој шаблон е повеќе од работа во тек, па затоа недостасуваат некои ставки.
mr.d0x објаснува дека овој комплет phishing алатки може да се користи и за кражба на ингеренциите и за испорака на малициозен софтвер.
На пример, ако корисникот кликне двапати на PDF во лажниот WinRar прозорец, тој може да го пренасочи посетителот на друга страница барајќи ги нивните ингеренции за најава за правилно да ја прегледа датотеката.
Комплетот со алатки може да се користи и за испорака на малициозен софтвер со прикажување на PDF-датотека што презема слично име .exe, наместо кога ќе се кликне.
На пример, прозорецот за лажна архива може да прикаже датотека document.pdf, но кога ќе се кликне, прелистувачот презема document.pdf.exe.
Бидејќи Windows стандардно не прикажува екстензии на датотеки, корисникот само ќе види PDF-датотека во папката за преземања и потенцијално ќе кликне двапати на неа, не сфаќајќи дека е извршна датотека.
Од особен интерес е како Windows пребарува датотеки и, кога не е пронајден, се обидува да ја отвори бараната низа во прелистувачот. Ако таа низа е легитимен домен, тогаш веб-страницата ќе се отвори; во спротивно, ќе ги прикаже резултатите од Bing пребарувањето.
Ако некој регистрира zip домен што е исто како и вообичаеното име на датотека и некој изврши пребарување во Windows, оперативниот систем автоматски ќе ја отвори страницата во прелистувачот.
Доколку таа страница го хостираше phishing комплетот „File Archiver in the Browser“, може да го измами корисникот да помисли дека WinRar прикажува вистинска ZIP архива.
Оваа техника илустрира како ZIP домените може да се злоупотребуваат за да се создадат паметни phishing напади и испорака на малициозен софтвер или кражба на ингеренциите.
mr.d0x е познат по претходните паметни phishing алатки, како што е користењето VNC за phishing за да се заобиколи MFA и Browser-in-the-Browser техниката. Хакерите го искористија второто за да ги украдат Steam ингеренциите.
Извор: BleepingComputer
