Un nuevo kit de phishing ‘File Archivers in the Browser’ abusa de los
dominios ZIP al mostrar ventanas falsas de WinRAR o Windows File Explorer en
el navegador para convencer a los usuarios de ejecutar archivos maliciosos.
A principios de este mes,
Google comenzó a ofrecer la posibilidad de registrar dominios ZIP, para alojar sitios web o direcciones de correo electrónico. Desde el
lanzamiento del TLD, ha habido
bastante debate
sobre si son un error y si podrían representar un riesgo de seguridad para los
usuarios.
Si bien algunos expertos creen que los temores son exagerados, la principal
preocupación es que algunos sitios convertirán automáticamente una cadena que
termina con «.ZIP», como «setup.zip», en un enlace en el que se
puede hacer clic que podría usarse para la entrega de malware o ataques de
phishing.
Por ejemplo, si le envía a alguien instrucciones sobre cómo descargar un
archivo llamado «setup.zip», Twitter lo convertirá automáticamente en
un enlace, lo que hará que las personas piensen que deben hacer clic en él
para descargar el archivo. Cuando se hace clic en ese enlace, el navegador
intentará abrir el sitio https://setup[.]zip, que podría redirigirlo a
otro sitio, mostrar una página HTML o solicitarle que descargue un archivo.
Sin embargo, como todas las campañas de envío de malware o phishing, primero
se debe convencer a un usuario para que abra el archivo, lo que puede ser un
desafío.
El investigador de seguridad
mr.d0x ha desarrollado un kit de phishing
inteligente que permite crear instancias falsas de WinRar en el navegador.
Estas ventanas se muestran en dominios ZIP para engañar a los usuarios
haciéndoles creer que están abriendo en un archivo .ZIP.
«Con este ataque de phishing, se simula un software de archivado de
archivos (por ejemplo, WinRAR) en el navegador y usa un dominio .ZIP para
que parezca más legítimo»,
explica una nueva publicación
de blog del investigador.
Mr.d0x ha subido 2 muestras a GitHub para que cualquiera las pruebe. El primero emula la utilidad de archivado de archivos WinRAR y la segunda emula una ventana de Windows. El kit se puede usar para incrustar una ventana falsa de WinRar directamente
en el navegador cuando se abre un dominio .ZIP, lo que hace que parezca que el
usuario abrió un archivo ZIP y ahora está viendo los archivos que contiene.
Si bien se ve cuando se muestra en el navegador, aparece como una ventana
emergente, ya que se puede eliminar la barra de direcciones y la barra de
desplazamiento, dejando lo que parece ser una ventana de WinRar en la
pantalla, como se muestra a continuación.
Para hacer que la ventana WinRar falsa sea aún más convincente, los
investigadores implementaron un botón escanear de seguridad falso que, cuando
se hace clic, dice que los archivos fueron escaneados y no se detectaron
amenazas.
Si bien el kit aún muestra la barra de direcciones del navegador, aún es
probable que engañe a algunos usuarios para que piensen que se trata de un
archivo WinRar legítimo. Además, es probable que se utilicen CSS y HTML
creativos para refinar aún más el conjunto de herramientas.
mr.d0x también creó otra variante que muestra un explorador de archivos de
Windows falso en el navegador que finge abrir un archivo ZIP. Esta plantilla
es más un trabajo en progreso, por lo que faltan algunos elementos.
Abusar del conjunto de herramientas de phishing
mr.d0x explica que este kit de herramientas de phishing se puede usar tanto
para el robo de credenciales como para la entrega de malware. Por ejemplo, si
un usuario hace doble clic en un PDF en la ventana falsa de WinRar, podría
redirigir al visitante a otra página solicitando sus credenciales de inicio de
sesión para ver correctamente el archivo.
El kit también se puede usar para entregar malware al mostrar un archivo PDF
que descarga un .EXE con un nombre similar cuando se hace clic en él. Por
ejemplo, la ventana de archivo falso podría mostrar un archivo
«document.pdf», pero cuando se hace clic, el navegador descarga
|document.pdf.exe».
Como Windows no muestra las extensiones de archivo de forma predeterminada, el
usuario solo verá un archivo PDF en su carpeta de descargas y posiblemente
haga doble clic en él, sin darse cuenta de que es un ejecutable.
De particular interés es cómo Windows busca archivos y, cuando no los
encuentra, intenta abrir la cadena buscada en un navegador. Si esa cadena es
un dominio legítimo, se abrirá el sitio web; de lo contrario, mostrará los
resultados de búsqueda de Bing.
Si alguien registra un «dominio.zip» que es igual a un nombre de
archivo común y alguien realiza una búsqueda en Windows, el sistema operativo
abrirá automáticamente el sitio en el navegador. Si ese sitio albergara el kit
de phishing mencionado, se podría engañar a un usuario haciéndole creer que
WinRar muestra un archivo ZIP real.
mr.d0x es conocido por sus kits de herramientas de phishing inteligentes
anteriores, como el uso de
VNC para phishing para eludir MFA
y la
técnica Browser-in-the-Browser. Los actores de amenazas usaron este último
para robar las credenciales de Steam.
Fuente:
BC
Los comentarios están cerrados.