Google permette di registrare otto nuovi domini, uno dei quali con estensione .zip
, noto formato di archiviazione. Un ricercatore di sicurezza ha descritto una tecnica di phishing che consente di simulare un software nel browser, la cui interfaccia (simile a quella di WinRAR) viene visualizzata quando l’utente accede ad un sito con dominio ZIP. I rischi erano era stati evidenziati anche da altri esperti del settore.
Phishing con domini ZIP
La possibilità di registrare un dominio .zip
può essere sfruttata dai cybercriminali. Il nome del file viene infatti automaticamente convertito in un link. L’ignaro utente clicca sul link e viene portato su un sito di phishing. L’attacco ipotizzato dal ricercatore mr.d0x prevede la visualizzazione di una pagina che emula WinRAR usando codice HTML e CSS.
In pratica viene mostrata l’interfaccia del noto software all’interno del browser. Se viene cliccato il pulsante Scan, la vittima vede un messaggio che conferma la sicurezza dell’archivio (in realtà non viene eseguita nessuna scansione antivirus). Cliccando sul pulsante Extract To viene scaricato l’archivio autoestraente sul computer.
Un simile metodo può essere sfruttato per scaricare ed eseguire un malware oppure per rubare direttamente le credenziali. I cybercriminali potrebbero facilmente eliminare la barra degli indirizzi e la barra di scorrimento laterale del browser per nascondere la provenienza dell’archivio. Una variante dell’attacco permette di mostrare nel browser l’interfaccia di Esplora file.
Il ricercatore di sicurezza ipotizza un aumento degli attacchi di phishing basati sui nuovi domini. Il consiglio è bloccare l’accesso ai domini .zip
e .mov
per evitare di infettare il computer e probabilmente l’intera rete aziendale.