Una nuova tecnica di phishing chiamata “archiviatore di file nel browser” può essere sfruttata per “emulare” un software di archiviazione di file in un browser web quando una vittima visita un dominio .ZIP.
“Con questo attacco di phishing, si simula un software di archiviazione di file (ad esempio, WinRAR) nel browser e si utilizza un dominio .zip per farlo sembrare più legittimo“, ha rivelato il celebre ricercatore di sicurezza mr.d0x la scorsa settimana.
Come funziona l’attacco via .zip
Gli hacker creano una pagina di destinazione di phishing dall’aspetto realistico (in realtà fasulla) utilizzando HTML e CSS che imitano un software di archiviazione di file legittimo, ospitandolo su un dominio .zip.
In un potenziale scenario di attacco, un malintenzionato potrebbe ricorrere a tale trucco per reindirizzare gli utenti a una pagina di raccolta delle credenziali quando viene fatto clic su un file “contenuto” all’interno del falso archivio ZIP.
“Un altro caso d’uso interessante è inserire un file non eseguibile e quando l’utente fa clic per avviare un download, scarica un file eseguibile“, ha osservato mr.d0x.
“Supponiamo che tu abbia un file ‘invoice.pdf’. Quando un utente fa clic su questo file, avvierà il download di un file .exe o di qualsiasi altro file.”
Una contraffazione davvero bene fatta
Inoltre, la presenza di una barra di ricerca Esplora Risorse di Windows può emergere come un elemento subdolo in cui la ricerca di un file .ZIP inesistente lo apre direttamente nel browser Web se il nome del file corrisponde a un dominio .zip legittimo.
“Questo è perfetto per questo scenario poiché l’utente si aspetterebbe di vedere un file ZIP“, ha detto il ricercatore. “Una volta che l’utente esegue questa operazione, avvierà automaticamente il dominio .zip che ha il modello di archivio file, apparendo abbastanza legittimo.”
Una scelta poco troppo “leggera” di Google?
Tutto ciò viene scoperto proprio a seguito del lancio di Google di otto nuovi domini di primo livello, tra cui “.zip” e “.mov”, che hanno sollevato alcune preoccupazioni perché potrebbero agevolare attacchi phishing e altri tipi di truffe online.
Questo perché .ZIP e .MOV sono entrambi nomi di estensioni di file legittimi, che potenzialmente confondono gli utenti ignari nel visitare un sito web dannoso piuttosto che aprire un file e indurli a scaricare accidentalmente malware.
I file ZIP vengono spesso utilizzati come parte della fase iniziale di una catena di attacco, in genere vengono scaricati dopo che un utente accede a un URL dannoso o apre un allegato di posta elettronica.
Lo scenario è realmente rischioso?
Difficile dirlo, ci sono pareri contrastanti: sul rischio rappresentato dalla confusione tra nomi di dominio e nomi di file; tuttavia, si ipotizza di essere all’alba di un nuovo vettore per il phishing.
La scoperta arriva anche quando la società di sicurezza informatica Group-IB ha dichiarato di aver rilevato un aumento del 25% nell’uso di kit di phishing rispetto all’anno precedente.
Ti è piaciuto l’articolo? Contatta Noi Sicurezza per consigli e supporto nella strategia di cyber security della tua azienda: