Появата на ZIP домейните доведе до създаването на нова хакерска атака – архиватор в браузъра

Стефан Николов Последна промяна на 30 май 2023 в 11:27 1117 0

ZIP Attack

Снимка BleepingComputer

Появата на ZIP домейните доведе до създаването на нова хакерска атака – архиватор в браузъра

Новият комплект за фишинг с име File Archivers in the Browser (Архиватори на файлове в браузъра) злоупотребява със ZIP домейните, като показва фалшиви прозорци на WinRAR или Windows Explorer в браузъра, за да убеди потребителите да стартират злонамерени файлове.

В началото на месец май Google започна да предлага възможност за регистриране на "ZIP" домейни от първо ниво (TLD) за хостване на уеб сайтове или имейл адреси. Основният проблем с домейна е, че някои сайтове автоматично превръщат низа, завършващ на ".zip", като например "setup.zip", в линк, върху който може да се кликва и който може да се използва за доставяне на зловреден софтуер или фишинг атаки.

BleepingComputer допълва, че експертът в областта на информационната безопасност с никнейм "mr.d0x" е разработил хитроумен набор от фишинг инструменти за създаване на фалшиви WinRar прозорци в браузъра и прозорци на Windows Explorer, които всъщност показват ZIP домейни, за да заблудят потребителите, че са отворили .zip файл.

Така например, ако изпратите на някого инструкции за изтегляне на файла setup.zip, то Twitter автоматично ще превърне setup.zip в линк с възможност за кликване върху него, което може да се използва за изтеглянето на вирусен софтуер или за осъществяването на фишинг атаки. Когато кликнете върху този линк, вашият браузър ще се опита да отвори сайта https://setup.zip, който спокойно може да ви прехвърли към друг сайт или да покаже специално направена HTML уеб страница, а може и да се стартира изтеглянето на файл

Техниката е подобна на класическата атака "браузър в браузъра" (BItB) - методът за кражба на данните за логване на потребителя имитира изскачащи прозорци от Google, Microsoft и други доставчици на удостоверителни услуги, които изискват потребителско име и парола. Според експерта, при фишинг атаката перфектно се имитира някоя от програмите за архивиране на файлове (например WinRAR) в браузъра, при което се използва домейнът ".zip", за може всичко да изглежда съвсем правдоподобно.

В показаната демонстрация комплектът от хакерски инструменти може да се използва за вграждане на фалшив прозорец на WinRar директно в браузъра при отваряне на .zip домейна, така че да изглежда, че потребителят е отворил ZIP архив и вижда файловете в него.

mr.d0x е създал и друг вариант, който показва фалшив Windows Explorer в браузъра под претекст, че отваря ZIP файл. Този модел засега е в процес на разработка и поради това има липсващи елементи.

Фишинг комплектът може да се използва както за кражба на идентификационни данни, така и за доставяне на зловреден софтуер. Например, ако потребителят щракне два пъти върху PDF файл във фалшивия прозорец на WinRar, той може да бъде пренасочен към друга страница, където да му бъдат поискани потребителското име и паролата, за да прегледа файла.

Още по-зле е ситуацията с показването на PDF файл, който при отваряне стартира .exe файл. Например фалшив прозорец на архивна програма може да показва файла "document.pdf", но при кликване браузърът да стартира "document.pdf.exe". Тъй като Windows по подразбиране не показва файловите разширения, потребителят просто ще види PDF файла в папката за изтегляне и ще кликне два пъти върху него, без да разбере, че това е изпълним файл.

Всички новини
Най-четени Най-нови
За писането на коментар е необходима регистрация.
Моля, регистрирайте се от TУК!
Ако вече имате регистрация, натиснете ТУК!

Няма коментари към тази новина !