По словам исследователя безопасности, известного как «mr.d0x», был обнаружен новый метод фишинга, который использует эксплойт «архиватор файлов браузера» для имитации программного обеспечения архивирования в веб-браузере, когда жертвы посещают домен .zip.

Злоумышленники в основном выполняют фишинговые атаки, имитируя программное обеспечение для архивирования файлов, такое как WinRAR, в браузере и маскируя его под домен .zip.  

«Чтобы выполнить эту атаку, вы должны сначала эмулировать программное обеспечение для архивации файлов с использованием HTML/CSS», — говорит mr.d0x. Я загрузил два примера на GitHub, чтобы каждый мог их использовать. Первый образец эмулирует утилиту архивирования файлов WinRAR, а другой образец эмулирует окно Проводника Windows 11».

Этот метод был обнаружен через несколько дней после того, как Google запустил восемь новых доменов верхнего уровня (TLD), включая .mov и .zip . Многие члены сообщества безопасности выразили обеспокоенность по поводу новых доменов верхнего уровня, особенно .mov и .zip, которые могут быть ошибочно приняты за расширения файлов. Поскольку .zip и .mov являются допустимыми расширениями файлов, ничего не подозревающих пользователей легко спутать. Вместо того, чтобы открыть нужный файл, вы рискуете случайно посетить вредоносный веб-сайт и загрузить вредоносное ПО в процессе. 

Реакции на риск того, что доменные имена будут ошибочно приняты за расширения файлов, неоднозначны, но почти все согласны с тем, что это даст злоумышленникам возможность распространять еще один вектор фишинга. «Недавно выпущенные TLD предоставляют злоумышленникам больше возможностей для фишинга», — сказал mr.d0x. "Домены .zip и .mov уже используются для фишинга и, вероятно, будут использоваться и дальше, поэтому мы настоятельно рекомендуем компаниям активно блокировать эти домены", - сказал он. Mr.d0x определил использование имитации .zip как предоставление фишерам некоторых «космических возможностей». Например, в образце WinRAR от mr.d0x есть значок «сканировать», чтобы подтвердить легитимность файла, а также есть кнопка «извлечь путь».

Один из вариантов использования, предложенных mr.d0x, — это сбор учетных данных путем открытия новой веб-страницы при нажатии на файл. Эти перенаправления могут привести к фишинговым страницам с инструментами, необходимыми для кражи конфиденциальных учетных данных. Другой вариант использования — «подмена неисполняемых файлов и загрузка исполняемых файлов, когда пользователь щелкает, чтобы начать загрузку». Например, если щелкнуть файл invoice.pdf, начнется загрузка .exe или другого файла.

В Твиттере многие люди подчеркивали, что окно поиска Windows File Explorer также может быть эффективным средством доставки вредоносного контента. В таком сценарии, когда пользователь следует инструкциям в фишинговом электронном письме и ищет на своем компьютере несуществующий zip-файл, результаты панели поиска автоматически отображают и открывают вредоносный домен .zip на основе браузера.