29 may 2023

Kit de phishing personalizado utilizando dominios ZIP

Un nuevo kit de phishing 'File Archivers in the Browser' abusa de los dominios ZIP al mostrar ventanas falsas de WinRAR o Windows File Explorer en el navegador para convencer a los usuarios de ejecutar archivos maliciosos.

A principios de este mes, Google comenzó a ofrecer la posibilidad de registrar dominios ZIP, para alojar sitios web o direcciones de correo electrónico. Desde el lanzamiento del TLD, ha habido bastante debate sobre si son un error y si podrían representar un riesgo de seguridad para los usuarios.

Si bien algunos expertos creen que los temores son exagerados, la principal preocupación es que algunos sitios convertirán automáticamente una cadena que termina con ".ZIP", como "setup.zip", en un enlace en el que se puede hacer clic que podría usarse para la entrega de malware o ataques de phishing.

Por ejemplo, si le envía a alguien instrucciones sobre cómo descargar un archivo llamado "setup.zip", Twitter lo convertirá automáticamente en un enlace, lo que hará que las personas piensen que deben hacer clic en él para descargar el archivo. Cuando se hace clic en ese enlace, el navegador intentará abrir el sitio https://setup[.]zip, que podría redirigirlo a otro sitio, mostrar una página HTML o solicitarle que descargue un archivo.

Sin embargo, como todas las campañas de envío de malware o phishing, primero se debe convencer a un usuario para que abra el archivo, lo que puede ser un desafío.

El investigador de seguridad mr.d0x ha desarrollado un kit de phishing inteligente que permite crear instancias falsas de WinRar en el navegador. Estas ventanas se muestran en dominios ZIP para engañar a los usuarios haciéndoles creer que están abriendo en un archivo .ZIP.

"Con este ataque de phishing, se simula un software de archivado de archivos (por ejemplo, WinRAR) en el navegador y usa un dominio .ZIP para que parezca más legítimo", explica una nueva publicación de blog del investigador.

Mr.d0x ha subido 2 muestras a GitHub para que cualquiera las pruebe. El primero emula la utilidad de archivado de archivos WinRAR y la segunda emula una ventana de Windows. El kit se puede usar para incrustar una ventana falsa de WinRar directamente en el navegador cuando se abre un dominio .ZIP, lo que hace que parezca que el usuario abrió un archivo ZIP y ahora está viendo los archivos que contiene.

Si bien se ve cuando se muestra en el navegador, aparece como una ventana emergente, ya que se puede eliminar la barra de direcciones y la barra de desplazamiento, dejando lo que parece ser una ventana de WinRar en la pantalla, como se muestra a continuación.

Para hacer que la ventana WinRar falsa sea aún más convincente, los investigadores implementaron un botón escanear de seguridad falso que, cuando se hace clic, dice que los archivos fueron escaneados y no se detectaron amenazas.

Si bien el kit aún muestra la barra de direcciones del navegador, aún es probable que engañe a algunos usuarios para que piensen que se trata de un archivo WinRar legítimo. Además, es probable que se utilicen CSS y HTML creativos para refinar aún más el conjunto de herramientas.

mr.d0x también creó otra variante que muestra un explorador de archivos de Windows falso en el navegador que finge abrir un archivo ZIP. Esta plantilla es más un trabajo en progreso, por lo que faltan algunos elementos.

Abusar del conjunto de herramientas de phishing

mr.d0x explica que este kit de herramientas de phishing se puede usar tanto para el robo de credenciales como para la entrega de malware. Por ejemplo, si un usuario hace doble clic en un PDF en la ventana falsa de WinRar, podría redirigir al visitante a otra página solicitando sus credenciales de inicio de sesión para ver correctamente el archivo.

El kit también se puede usar para entregar malware al mostrar un archivo PDF que descarga un .EXE con un nombre similar cuando se hace clic en él. Por ejemplo, la ventana de archivo falso podría mostrar un archivo "document.pdf", pero cuando se hace clic, el navegador descarga |document.pdf.exe".

Como Windows no muestra las extensiones de archivo de forma predeterminada, el usuario solo verá un archivo PDF en su carpeta de descargas y posiblemente haga doble clic en él, sin darse cuenta de que es un ejecutable.

De particular interés es cómo Windows busca archivos y, cuando no los encuentra, intenta abrir la cadena buscada en un navegador. Si esa cadena es un dominio legítimo, se abrirá el sitio web; de lo contrario, mostrará los resultados de búsqueda de Bing.

Si alguien registra un "dominio.zip" que es igual a un nombre de archivo común y alguien realiza una búsqueda en Windows, el sistema operativo abrirá automáticamente el sitio en el navegador. Si ese sitio albergara el kit de phishing mencionado, se podría engañar a un usuario haciéndole creer que WinRar muestra un archivo ZIP real.

mr.d0x es conocido por sus kits de herramientas de phishing inteligentes anteriores, como el uso de VNC para phishing para eludir MFA y la técnica Browser-in-the-Browser. Los actores de amenazas usaron este último para robar las credenciales de Steam.

Fuente: BC

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!