Clever ‘File Archiver In The Browser’ phishing trick uses ZIP domains
แคมเปญฟิชชิ่งใหม่ที่ปลอมเป็นโดเมน ZIP โดยการแสดง WinRAR หรือ Windows File Explorer เวอร์ชันปลอมในเบราว์เซอร์เพื่อโน้มน้าวให้ผู้ใช้เปิดไฟล์ที่เป็นอันตราย เมื่อต้นเดือนนี้ Google เริ่มเสนอความสามารถในการจดทะเบียนโดเมน ZIP TLD เช่น bleepingcomputer.zip เพื่อโฮสต์เว็บไซต์หรือที่อยู่อีเมล นับตั้งแต่มีการเปิดตัว TLD มีการถกเถียงกันเล็กน้อยว่าสิ่งเหล่านี้เป็นความผิดพลาดและอาจก่อให้เกิดความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์แก่ผู้ใช้หรือไม่ ในขณะที่ผู้เชี่ยวชาญบางคนมีความกังวลว่าบางไซต์จะเปลี่ยนสตริงที่ลงท้ายด้วย .zip โดยอัตโนมัติ เช่น setup.zip และเป็นลิงก์ที่สามารถคลิกได้ซึ่งอาจใช้สำหรับการส่งมัลแวร์หรือการโจมตีแบบฟิชชิง ตัวอย่างเช่น หากคุณส่งคำแนะนำเกี่ยวกับการดาวน์โหลดไฟล์ชื่อ setup.zip ให้ผู้อื่น Twitter จะเปลี่ยน setup.zip เป็นลิงก์โดยอัตโนมัติ ทำให้ผู้คนคิดว่าควรคลิกเพื่อดาวน์โหลดไฟล์ เมื่อคุณคลิกลิงก์นั้นเบราว์เซอร์ของคุณจะพยายามเปิดไซต์ https://setup.zip ซึ่งอาจเปลี่ยนเส้นทางคุณไปยังไซต์อื่น โดยการแสดงหน้า HTML หรือแจ้งให้คุณดาวน์โหลดไฟล์ อย่างไรก็ตามการส่งมัลแวร์หรือแคมเปญฟิชชิ่ง คุณต้องโน้มน้าวให้ผู้ใช้เปิดไฟล์ก่อน ซึ่งอาจเป็นเรื่องที่ยากหากผู้ใช้ไม่ได้เปิดไฟล์
นักวิจัยด้านความปลอดภัยของ mr.d0x ได้พัฒนาชุดเครื่องมือฟิชชิ่งที่ชาญฉลาดซึ่งช่วยให้คุณสร้างอินสแตนซ์ WinRar ในเบราว์เซอร์ปลอมและ File Explorer Windows ที่แสดงบนโดเมน ZIP เพื่อหลอกผู้ใช้ให้คิดว่าพวกเขาเปิดไฟล์ .zip ด้วยการโจมตีแบบฟิชชิ่งนี้คุณจะจำลองซอฟต์แวร์เก็บถาวรไฟล์ เช่น WinRAR ในเบราว์เซอร์ และใช้โดเมน .zip เพื่อทำให้ดูเหมือนถูกต้อง จากตัวอย่างการจำลองเหตุการณ์สามารถใช้ชุดเครื่องมือเพื่อฝัง WinRar ปลอมได้โดยตรงในเบราว์เซอร์เมื่อเปิดโดเมน .zip ทำให้ดูเหมือนว่าผู้ใช้เปิดไฟล์ ZIP และตอนนี้เห็นไฟล์ที่อยู่ภายใน แม้ว่ามันจะดูดีเมื่อแสดงในเบราว์เซอร์ แต่มันจะแสดงเป็นหน้าต่างป๊อปอัพ โดยที่คุณสามารถลบแถบที่อยู่ออกได้ และจะเหลือสิ่งที่ดูเหมือนจะเป็น WinRar ที่แสดงบนหน้าจอ โดยหน้าจอ WinRar ในเบราว์เซอร์ปลอมจะแสร้งทำเป็นเปิดไฟล์ ZIP เพื่อทำให้ WinRar ปลอมดูน่าเชื่อถือยิ่งขึ้น นักวิจัยยังได้ติดตั้งปุ่มสแกนความปลอดภัยปลอม ซึ่งเมื่อคลิกแล้ว จะบอกว่าไฟล์ถูกสแกนและไม่พบภัยคุกคามใดๆ แม้ว่าชุดเครื่องมือนี้จะยังคงแสดงแถบที่อยู่ของเบราว์เซอร์ แต่ก็ยังมีแนวโน้มที่จะหลอกผู้ใช้บางคนให้คิดว่านี่เป็นไฟล์เก็บถาวร WinRar ที่ถูกต้อง นอกจากนี้อาจใช้ CSS และ HTML เพื่อปรับแต่งชุดเครื่องมือเพิ่มเติม นอกจากนี้นักวิจัยยังสร้างตัวแปรอื่นที่แสดง Windows File Explorer ในเบราว์เซอร์ปลอมที่แสร้งทำเป็นเปิดไฟล์ ZIP โดยเทมเพลตนี้อยู่ในระหว่างดำเนินการ ดังนั้นจึงมีบางรายการขาดหายไป
นักวิจัยยังอธิบายว่าชุดเครื่องมือฟิชชิ่งนี้สามารถใช้สำหรับการโจรกรรมข้อมูลส่วนตัวและการส่งมัลแวร์ ตัวอย่างเช่น หากผู้ใช้ดับเบิลคลิกไฟล์ PDF ในหน้าต่าง WinRar ปลอม ก็อาจเปลี่ยนเส้นทางผู้เข้าชมไปยังหน้าอื่นเพื่อขอข้อมูลรับรองการเข้าสู่ระบบเพื่อดูไฟล์ได้อย่างถูกต้อง ชุดเครื่องมือนี้ยังสามารถใช้เพื่อส่งมัลแวร์ด้วยการแสดงไฟล์ PDF ที่ดาวน์โหลดไฟล์ .exe ที่มีชื่อคล้ายกันแทน ตัวอย่างเช่น WinRar ปลอมอาจแสดงไฟล์ document.pdf แต่เมื่อคลิก เบราว์เซอร์จะดาวน์โหลด document.pdf.exe เนื่องจาก Windows ไม่แสดงนามสกุลไฟล์ตามค่าเริ่มต้น ผู้ใช้จะเห็นไฟล์ PDF ในโฟลเดอร์ดาวน์โหลดและอาจดับเบิลคลิกที่ไฟล์โดยไม่ทราบว่าเป็นไฟล์ปฏิบัติการ สิ่งที่น่าสนใจคือวิธีที่ Windows ค้นหาไฟล์และเมื่อไม่พบ จะพยายามเปิดสตริงที่ค้นหาในเบราว์เซอร์ หากสตริงนั้นเป็นโดเมนที่ถูกต้อง เว็บไซต์ก็จะถูกเปิด มิฉะนั้นจะแสดงผลการค้นหาจาก Bing หากมีคนลงทะเบียนโดเมน zip ที่เหมือนกับชื่อไฟล์ทั่วไป และมีคนทำการค้นหาใน Windows ระบบปฏิบัติการจะเปิดไซต์โดยอัตโนมัติในเบราว์เซอร์ หากไซต์นั้นเป็นโฮสต์ฟิชชิ่ง File Archivers in the Browser อาจหลอกให้ผู้ใช้คิดว่า WinRar แสดงไฟล์ ZIP จริง ซึ่งเทคนิคนี้แสดงให้เห็นว่าสามารถใช้โดเมน ZIP ในทางที่ผิดเพื่อสร้างการโจมตีแบบฟิชชิ่งและการส่งมัลแวร์หรือการขโมยข้อมูลประจำตัวได้อย่างไร
https://www.bleepingcomputer.com/news/security/clever-file-archiver-in-the-browser-phishing-trick-uses-zip-domains/