Un kit de phishing que explota los dominios .ZIP de Google muestra ventanas falsas de WinRAR o Windows File Explorer en los navegadores de muchos usuarios. Con clave de riesgo grave para lanzar archivos maliciosos.
A principios de mayo, Google dio la bienvenida al lanzamiento de 8 dominios adicionales (.dad, .phd, .prof, .esq, .foo, .zip, .mov y .nexus). En esta lista, la presencia del .zip ha comenzado a preocupar a los CISO. El problema ? Los actores maliciosos podrían crear un phishing que parezca una página web creíble utilizando HTML y CSS que imita el software de archivo de archivos y alojarlo en un dominio .zip, lo que podría intensificar las campañas de ingeniería social. El engaño puede ser muy útil, ya que los piratas informáticos imitan el ícono de escaneo en forma de un escudo azul.
Este phishing puede tomar varias formas: “El primer caso consiste en recopilar información de identificación al abrir otra página web al hacer clic en un archivo. Otro caso de uso interesante es enumerar un archivo no ejecutable y cuando el usuario hace clic para iniciar la descarga, descarga un archivo ejecutable. Suponga que tiene un archivo de factura.pdf. Cuando un usuario hace clic en este archivo, comienza a descargar un archivo .exe o cualquier otro archivo”, explica el investigador de seguridad conocido como mister dox.
El Explorador de archivos de Windows como vector de entrega
Este último también señaló que los twittos han notado que la barra de búsqueda del Explorador de archivos de Windows es un buen vector de difusión. “Si el usuario busca mrd0x.zip y no existe en la máquina, automáticamente lo abrirá en el navegador. Es perfecto para este escenario ya que el usuario espera ver un archivo zip”, advierte el investigador que recomienda enfáticamente que las empresas bloqueen el dominio .zip pero también el .mov. Más vale prevenir que curar.
Una búsqueda en Linkedin muestra que los CISO y los especialistas en ciberseguridad condenan la decisión de Google de abrir este TLD. En términos de conciencia, agrega confusión y aumenta significativamente los riesgos en términos de phishing.