Новости Появление доменов .zip спровоцировало создание новой техники атаки - "архиватор в браузере"

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Новый фишинговый набор злоупотребляет доменами ".zip", отображая поддельные окна WinRar или Проводника Windows в браузере.


weci02zo84kpdfcf0x40hg1iarjbka19.jpg


Новый фишинговый набор « Для просмотра ссылки Войди или Зарегистрируйся » злоупотребляет доменами ZIP, отображая поддельные окна WinRAR или Проводника Windows в браузере, чтобы убедить пользователей запустить вредоносные файлы.

В начале мая Google начал предлагать возможность регистрировать домены верхнего уровня (TLD) «ZIP» для размещения веб-сайтов или email-адресов. Основная проблема домена заключается в том, что некоторые сайты автоматически превращают строку, оканчивающуюся на «.zip», например «setup.zip», в кликабельную ссылку, которая может использоваться для доставки вредоносного ПО или фишинговых атак.


7two3quncmyy6pm80zxjk94p8y3udycu.png


Twitter* превращает домен «setup.zip» в ссылку

Исследователь безопасности «mr.d0x» разработал умный фишинговый набор инструментов, который позволяет создавать поддельные окна WinRar в браузере и окна Проводника Windows, которые отображаются на доменах ZIP, чтобы обмануть пользователей и заставить их думать, что они открыли .zip-файл.

Техника похожа на атаку «браузер в браузере» ( BItB ) - способ кражи учетных данных для входа в систему имитирует всплывающие окна браузера от Google, Microsoft и других поставщиков услуг аутентификации, которые запрашивают имя пользователя и пароль. По словам эксперта, с помощью фишинговой атаки вы имитируете ПО для архивации файлов (например, WinRAR) в браузере и используете домен «.zip», чтобы придать ему правдоподобности.

В демонстрации набор инструментов можно использовать для встраивания поддельного окна WinRar непосредственно в браузер при открытии домена «.zip», создавая видимость того, что пользователь открыл ZIP-архив и теперь видит файлы внутри него.


gjthr9jg3utrpsg1op6y9g4fpmno6zm5.png


Поддельное окно WinRar в браузере

mr.d0x также создал другой вариант, который отображает поддельный Проводник Windows в браузере под видом открытия ZIP-файла. Этот шаблон является скорее работой в процессе разработки и поэтому имеет некоторые недостающие элементы.

Фишинговый набор можно использовать как для кражи учетных данных, так и для доставки вредоносного ПО. Например, если пользователь дважды щелкнет PDF-файл в поддельном окне WinRar, он может быть перенаправлен на другую страницу, где его попросят указать учетные данные, чтобы просмотреть файл.


ahzm1eqid38hbc6phgy4c23m5afdblqt.png


Поддельный PDF-файл во всплывающем окне

Набор инструментов также может использоваться для доставки вредоносного ПО, отображая PDF-файл, который при открытии загружает.exe-файл. Например, поддельное окно архива может показывать файл «document.pdf», но при щелчке по нему браузер загружает «document.pdf.exe».

Поскольку Windows по умолчанию не показывает расширения файлов, пользователь просто увидит PDF-файл в своей папке загрузок и дважды щелкнет по нему, не осознавая, что это исполняемый файл. Новая техника показывает, как домены ZIP могут быть использованы для создания умных фишинговых атак и доставки вредоносного ПО или кражи учетных данных.
 
Источник новости
www.securitylab.ru

Похожие темы