Modern technology gives us many things.

Το έξυπνο κόλπο phishing «Αρχειοθέτηση αρχείων στο πρόγραμμα περιήγησης» χρησιμοποιεί τομείς ZIP

Ένα νέο κιτ phishing «Αρχειοθέτηση αρχείων στο πρόγραμμα περιήγησης» καταχράται τους τομείς ZIP εμφανίζοντας πλαστά παράθυρα WinRAR ή Windows File Explorer στο πρόγραμμα περιήγησης για να πείσει τους χρήστες να εκκινήσουν κακόβουλα αρχεία.

Νωρίτερα αυτό το μήνα, Η Google άρχισε να προσφέρει τη δυνατότητα εγγραφής τομέων ZIP TLD, όπως το bleepingcomputer.zip, για φιλοξενία ιστοτόπων ή διευθύνσεων email.

Από την κυκλοφορία του TLD, υπήρξε αρκετή συζήτηση για το αν είναι λάθος και θα μπορούσαν να αποτελέσουν κίνδυνο για την ασφάλεια στον κυβερνοχώρο για τους χρήστες.

Ενώ ορισμένοι ειδικοί πιστεύουν ότι οι φόβοι είναι υπερβολικοί, η κύρια ανησυχία είναι ότι ορισμένοι ιστότοποι θα μετατρέψουν αυτόματα μια συμβολοσειρά που τελειώνει με “.zip”, όπως το setup.zip, σε σύνδεσμο με δυνατότητα κλικ που θα μπορούσε να χρησιμοποιηθεί για παράδοση κακόβουλου λογισμικού ή επιθέσεις phishing.

Για παράδειγμα, εάν στείλετε σε κάποιον οδηγίες σχετικά με τη λήψη ενός αρχείου που ονομάζεται setup.zip, το Twitter θα μετατρέψει αυτόματα το setup.zip σε σύνδεσμο, κάνοντας τους χρήστες να πιστεύουν ότι πρέπει να κάνουν κλικ σε αυτό για λήψη του αρχείου.

Το Twitter DM μετατρέπει αυτόματα το setup.zip σε σύνδεσμο
Το Twitter DM μετατρέπει αυτόματα το setup.zip σε σύνδεσμο
Πηγή: BleepingComputer

Όταν κάνετε κλικ σε αυτόν τον σύνδεσμο, το πρόγραμμα περιήγησής σας θα προσπαθήσει να ανοίξει τον ιστότοπο https://setup.zip, ο οποίος θα μπορούσε να σας ανακατευθύνει σε άλλο ιστότοπο, να εμφανίσει μια σελίδα HTML ή να σας ζητήσει να κάνετε λήψη ενός αρχείου.

Ωστόσο, όπως όλες οι καμπάνιες παράδοσης κακόβουλου λογισμικού ή phishing, πρέπει πρώτα να πείσετε έναν χρήστη να ανοίξει ένα αρχείο, κάτι που μπορεί να είναι δύσκολο.

Αρχειοθέτηση αρχείων στο πρόγραμμα περιήγησης

Ερευνητής ασφάλειας mr.d0x έχει αναπτύξει μια έξυπνη εργαλειοθήκη phishing που σας επιτρέπει να δημιουργείτε ψεύτικες παρουσίες WinRar στο πρόγραμμα περιήγησης και Windows Explorer File Explorer που εμφανίζονται σε τομείς ZIP για να ξεγελάσουν τους χρήστες ώστε να πιστέψουν ότι είναι ανοιχτό αρχείο .zip.

“Με αυτήν την επίθεση phishing, προσομοιώνετε ένα λογισμικό αρχειοθέτησης αρχείων (π.χ. WinRAR) στο πρόγραμμα περιήγησης και χρησιμοποιείτε έναν τομέα .zip για να το κάνετε να φαίνεται πιο νόμιμο”, εξηγεί ένας νέα ανάρτηση ιστολογίου από τον ερευνητή.

Σε μια επίδειξη που μοιράζεται με το BleepingComputer, η εργαλειοθήκη μπορεί να χρησιμοποιηθεί για την ενσωμάτωση ενός πλαστού παραθύρου WinRar απευθείας στο πρόγραμμα περιήγησης όταν ανοίγει ένας τομέας .zip, κάνοντάς το να μοιάζει σαν ο χρήστης να άνοιξε ένα αρχείο ZIP και τώρα βλέπει τα αρχεία μέσα σε αυτό.

Αν και φαίνεται ωραίο όταν εμφανίζεται στο πρόγραμμα περιήγησης, λάμπει ως αναδυόμενο παράθυρο, καθώς μπορείτε να αφαιρέσετε τη γραμμή διευθύνσεων και τη γραμμή κύλισης, αφήνοντας αυτό που φαίνεται να είναι ένα παράθυρο WinRar να εμφανίζεται στην οθόνη, όπως φαίνεται παρακάτω.

Ψεύτικη οθόνη WinRar στο πρόγραμμα περιήγησης που προσποιείται ότι ανοίγει ένα αρχείο ZIP
Ψεύτικη οθόνη WinRar στο πρόγραμμα περιήγησης που προσποιείται ότι ανοίγει ένα αρχείο ZIP
Πηγή: BleepingComputer

Για να κάνουν το ψεύτικο παράθυρο του WinRar ακόμη πιο πειστικό, οι ερευνητές εφάρμοσαν ένα ψεύτικο κουμπί ασφαλείας Σάρωση που, όταν πατηθεί, λέει ότι τα αρχεία σαρώθηκαν και δεν εντοπίστηκαν απειλές.

Σαρωτής πλαστών αρχείων
Σαρωτής πλαστών αρχείων
Πηγή: BleepingComputer

Αν και η εργαλειοθήκη δεν είναι τέλεια, καθώς εξακολουθεί να εμφανίζει μια γραμμή διευθύνσεων, εξακολουθεί να είναι πιθανό να ξεγελάσει ορισμένους χρήστες ώστε να πιστέψουν ότι πρόκειται για ένα νόμιμο αρχείο WinRar. Επιπλέον, το δημιουργικό CSS και HTML θα μπορούσαν πιθανότατα να χρησιμοποιηθούν για να βελτιώσουν περαιτέρω την εργαλειοθήκη.

Ο mr.d0x δημιούργησε επίσης μια άλλη παραλλαγή που εμφανίζει ένα ψεύτικο στο πρόγραμμα περιήγησης Windows File Explorer που προσποιείται ότι ανοίγει ένα αρχείο ZIP.

Το Fake Windows File Explorer εμφανίζεται στο πρόγραμμα περιήγησης
Πηγή: BleepingComputer

Κατάχρηση της εργαλειοθήκης phishing

Ο mr.d0x εξηγεί ότι αυτή η εργαλειοθήκη phishing μπορεί να χρησιμοποιηθεί τόσο για κλοπή διαπιστευτηρίων όσο και για παράδοση κακόβουλου λογισμικού.

Για παράδειγμα, εάν ένας χρήστης κάνει διπλό κλικ σε ένα PDF στο ψεύτικο παράθυρο του WinRar, θα μπορούσε να ανακατευθύνει τον επισκέπτη σε μια άλλη σελίδα ζητώντας τα διαπιστευτήρια σύνδεσής του για να δει σωστά το αρχείο.

Η εργαλειοθήκη μπορεί επίσης να χρησιμοποιηθεί για την παράδοση κακόβουλου λογισμικού, εμφανίζοντας ένα αρχείο PDF που κατεβάζει ένα .exe με παρόμοια ονομασία, όταν γίνεται κλικ. Για παράδειγμα, το ψεύτικο παράθυρο αρχειοθέτησης θα μπορούσε να εμφανίσει ένα αρχείο document.pdf, αλλά όταν κάνετε κλικ, το πρόγραμμα περιήγησης κατεβάζει το document.pdf.exe.

Καθώς τα Windows δεν εμφανίζουν επεκτάσεις αρχείων από προεπιλογή, ο χρήστης θα δει απλώς ένα αρχείο PDF στον φάκελο λήψεων και ενδεχομένως θα κάνει διπλό κλικ πάνω του, χωρίς να συνειδητοποιεί ότι είναι εκτελέσιμο.

Ιδιαίτερο ενδιαφέρον παρουσιάζει ο τρόπος με τον οποίο τα Windows αναζητούν αρχεία και, όταν δεν βρίσκονται, επιχειρούν να ανοίξουν τη συμβολοσειρά που αναζητήθηκε σε ένα πρόγραμμα περιήγησης. Εάν αυτή η συμβολοσειρά είναι νόμιμος τομέας, τότε ο ιστότοπος θα ανοίξει. Διαφορετικά, θα εμφανίζει αποτελέσματα αναζήτησης από το Bing.

Εάν κάποιος καταχωρίσει έναν τομέα zip που είναι ίδιο με ένα κοινό όνομα αρχείου και κάποιος πραγματοποιήσει αναζήτηση στα Windows, το λειτουργικό σύστημα θα ανοίξει αυτόματα τον ιστότοπο στο πρόγραμμα περιήγησης.

Εάν αυτός ο ιστότοπος φιλοξενούσε το κιτ phishing «Αρχειοθέτηση αρχείων στο πρόγραμμα περιήγησης», θα μπορούσε να ξεγελάσει έναν χρήστη ώστε να πιστέψει ότι το WinRar εμφανίζει ένα πραγματικό αρχείο ZIP.

Αν και αυτή η τεχνική πρέπει να βελτιωθεί περαιτέρω για να γίνει μια πιο απρόσκοπτη εμπειρία, δείχνει πώς τα αρχεία ZIP μπορούν να χρησιμοποιηθούν δημιουργικά για επιθέσεις phishing και παράδοση κακόβουλου λογισμικού.

Ο mr.d0x είναι γνωστός για προηγούμενες έξυπνες εργαλειοθήκες ηλεκτρονικού “ψαρέματος” (phishing), όπως η χρήση VNC για ηλεκτρονικό “ψάρεμα” (phishing) για παράκαμψη του MFA και η τεχνική του Browser-in-the-Browser. Οι ηθοποιοί του Threat χρησιμοποίησαν το τελευταίο για να κλέψουν τα διαπιστευτήρια του Steam.



bleepingcomputer.com

Follow TechWar.gr on Google News

Απάντηση