No ha pasado ni un mes desde que Google comenzó a ofrecer dominios de Internet .zip, y la gente ya ha encontrado una forma inteligente y creativa de abusar de ellos para distribuir malware.
La estafa gira en torno a convertir la ventana del navegador web en una instancia falsa de WinZip o WinRAR y engañar a la víctima para que crea que está abriendo un archivo legítimo cuando, en realidad, está descargando malware.
El investigador mr.dox describió cómo un actor de amenazas registra un nuevo dominio, por ejemplo, «setup.zip». Parece un archivo para un archivo de instalación. Luego, crean el sitio web para imitar la apariencia de WinRAR: la ruta del archivo está ahí, los íconos están ahí, todo parece legítimo. Para agregar aún más credibilidad a la estafa, los atacantes también pueden crear una ventana emergente de exploración antivirus falsa, informando a la víctima que los archivos en el archivo fueron escaneados y no se encontraron amenazas.
¿Un sitio web o un archivo?
El investigador que ideó el método afirma que este kit de phishing puede usarse en ataques como la distribución de malware o el robo de credenciales. Una víctima podría terminar haciendo doble clic en un archivo PDF falso en la ventana falsa de WinRAR y ser redirigido a una página de inicio de sesión falsa que podría robar su información de inicio de sesión.
El archivo PDF falso también se puede usar para activar la descarga de un archivo, engañando a la víctima para que descargue malware.
BleepingComputer también recuerda que también se puede abusar de la forma en que las últimas versiones de Windows buscan archivos. Cuando una persona escribe un nombre de archivo en la barra de búsqueda, el sistema operativo primero buscará en el almacenamiento local, pero si no encuentra nada, intentará abrir la consulta en un navegador. Si hay un dominio legítimo con el mismo nombre, se abrirá en el navegador.
“Esta técnica ilustra cómo se puede abusar de los dominios ZIP para crear ataques de phishing inteligentes y entrega de malware o robo de credenciales”, concluye la publicación.
Vía: BleepingComputer