روی آن فایل ZIP کلیک نکنید! پسوند‌های .ZIP برای فریب قربانیان مسلح شده‌اند!

یک تکنیک جدید فیشینگ به نام “بایگانی فایل در مرورگر” را می‌توان برای “شبیه‌سازی” یک نرم‌افزار بایگانی فایل در مرورگر وب در هنگام بازدید قربانی از دامنه .ZIP استفاده کرد.

محقق امنیتی mr.d0x هفته گذشته فاش کرد[۱]: “با این حمله فیشینگ، شما یک نرم‌افزار بایگانی فایل (به‌عنوان‌مثال WinRAR) را در مرورگر شبیه‌سازی می‌کنید و از یک دامنه .zip استفاده می‌کنید تا قانونی‌تر به نظر برسد.”

به طور خلاصه، عوامل تهدید می‌توانند با استفاده از HTML و CSS یک صفحه فرود فیشینگ[۲] با ظاهر واقعی ایجاد کنند که نرم‌افزار آرشیو فایل‌های قانونی را تقلید می‌کند و آن را در دامنه .zip میزبانی می‌کند، بنابراین کمپین‌های مهندسی اجتماعی[۳] را ارتقا می‌دهد.

در یک سناریوی حمله احتمالی، زمانی که ‌روی یک فایل contained در بایگانی ZIP جعلی کلیک می‌شود، یک متخلف می‌تواند به چنین حقه‌هایی متوسل شود تا کاربران را به صفحه جمع‌آوری اعتبار هدایت کند.

mr.d0x خاطرنشان کرد: «یک مورداستفاده جالب دیگر فهرست‌کردن یک فایل غیرقابل‌اجرا است و زمانی که کاربر برای شروع دانلود کلیک می‌کند، یک فایل اجرایی را دانلود می‌کند. فرض کنید یک فایل “invoice.pdf” دارید. وقتی کاربر روی این فایل کلیک می‌کند، دانلود یک exe. یا هر فایل دیگری را آغاز می‌کند.”

علاوه بر این، نوار جستجو در Windows File Explorer می‌تواند به‌عنوان یک مجرای پنهانی ظاهر شود که در آن جستجو برای یک فایل .ZIP غیر موجود، آن را مستقیماً در مرورگر وب باز می‌کند، درصورتی‌که نام فایل با دامنه .zip قانونی[۴] مطابقت داشته باشد.

این محقق گفت: “این برای این سناریو عالی است؛ زیرا کاربر انتظار دارد یک فایل ZIP را ببیند. هنگامی که کاربر این کار را انجام داد، دامنه .zip را که دارای الگوی آرشیو فایل است، به طور خودکار راه‌اندازی می‌کند و کاملاً قانونی به نظر می‌رسد.”

این توسعه زمانی انجام شد که گوگل هشت دامنه جدید سطح بالا (TLD) از جمله “.zip” و “.mov” را معرفی کرد[۵] که برخی نگرانی‌ها را در مورد اینکه می‌تواند فیشینگ و دیگر انواع کلاهبرداری‌های آنلاین را دعوت کند[۶]، ایجاد کرده است.

این به این دلیل است که .ZIP و .MOV هر دو نام پسوند فایل قانونی هستند و به طور بالقوه باعث سردرگمی کاربران ناآگاه در بازدید از یک وب‌سایت مخرب می‌شوند تا اینکه یک فایل را باز کنند و آنها را فریب دهند تا به طور تصادفی یک بدافزار را دانلود کنند.

Trend Micro در این باره گفت[۷]: فایل‌های Zip اغلب به‌عنوان بخشی از مرحله اولیه زنجیره حمله استفاده می‌شوند، معمولاً پس از دسترسی کاربر به URL مخرب یا باز کردن یک پیوست ایمیل، دانلود می‌شوند.

فراتر از بایگانی‌های ZIP که به‌عنوان محموله مورداستفاده قرار می‌گیرند، این احتمال وجود دارد که بازیگران مخرب از URLهای مرتبط با ZIP برای دانلود بدافزار با معرفی .zip TLD استفاده کنند.

درحالی‌که واکنش‌ها[۸] به طور قطعی در مورد خطر ناشی از سردرگمی بین نام دامنه و نام فایل‌ها مخلوط شده است[۹]، انتظار می‌رود بازیگرانی که با نیت بد عمل می‌کنند با یک عامل دیگر برای فیشینگ تجهیز شود.

این کشف همچنین در حالی صورت می‌گیرد که شرکت امنیت سایبری Group-IB اعلام کرد در سال ۲۰۲۲ افزایش ۲۵ درصدی در استفاده از کیت‌های فیشینگ[۱۰] را شناسایی کرده است و ۳۶۷۷ کیت منحصربه‌فرد را در مقایسه با سال قبل شناسایی کرده است.

افزایش روند استفاده از تلگرام برای جمع‌آوری اطلاعات دزدیده شده از ۵٫۶ درصد در سال ۲۰۲۱ به ۹٫۴ درصد در سال ۲۰۲۲ تقریباً دو برابر شده است.

حملات فیشینگ نیز پیچیده‌تر می‌شوند و مجرمان سایبری به طور فزاینده‌ای روی بسته‌بندی کیت‌ها با قابلیت‌های فرار شناسایی مانند استفاده از آنتی ربات‌ها و دایرکتوری‌های پویا تمرکز می‌کنند.

این شرکت مستقر در سنگاپور گفت[۱۱]: «اپراتورهای فیشینگ پوشه‌های وب‌سایتی تصادفی ایجاد می‌کنند که فقط توسط گیرنده URL شخصی شده فیشینگ قابل‌دسترسی است و بدون پیوند اولیه قابل‌دسترسی نیست.»

“این تکنیک به فیشرها اجازه می‌دهد تا از شناسایی و قرارگرفتن در لیست سیاه خودداری کنند؛ زیرا محتوای فیشینگ خود را نشان نمی‌دهد.”

طبق گزارش جدیدی[۱۲] از Perception Point، تعداد حملات فیشینگ پیشرفته‌ای که توسط عوامل تهدید در سال ۲۰۲۲ انجام شد، ۳۵۶ درصد افزایش یافت. تعداد کل حملات در طول سال، ۸۷ درصد افزایش یافته است.

این تکامل مداوم طرح‌های فیشینگ با موج جدیدی از حملات مشاهده شده است که از حساب‌های مایکروسافت ۳۶۵ و ایمیل‌های رمزگذاری شده با مجوز محدود (rpmsg.)[13] برای جمع‌آوری اعتبار کاربران استفاده می‌کنند.

Phil Hay و Rodel Mendrez، محققین Trustwave در این باره توضیح دادند[۱۴]: «استفاده از پیام‌های رمزگذاری‌شده‌ی rpmsg به این معنی است که محتوای فیشینگ پیام، از جمله پیوندهای URL، از دروازه‌های اسکن ایمیل پنهان می‌شوند.»

نمونه دیگری که توسط Proofpoint برجسته شده است[۱۵] مستلزم سوءاستفاده احتمالی از ویژگی‌های قانونی در تیم‌های مایکروسافت برای تسهیل ارسال فیشینگ و بدافزار است، از جمله استفاده از دعوت‌نامه‌های جلسه پس از سازش با جایگزینی URLهای پیش‌فرض با لینک‌های مخرب از طریق تماس‌های API.

این شرکت امنیتی‌ سازمانی خاطرنشان کرد: “رویکرد متفاوتی که مهاجمان می‌توانند باتوجه‌به دسترسی به توکن Teams کاربر استفاده کنند، استفاده از API یا رابط کاربری Teams برای ایجاد سلاح در پیوندهای موجود در پیام‌های ارسال شده است.”

این کار را می‌توان با جایگزین‌کردن لینک‌های خوش‌خیم با پیوندهایی که به وب‌سایت‌های شرور یا منابع مخرب اشاره می‌کنند انجام داد.

منابع

[۱] https://mrd0x.com/file-archiver-in-the-browser

[۲] https://github.com/mrd0x/file-archiver-in-the-browser

[۳] https://www.cisa.gov/news-events/alerts/2023/05/25/cisa-warns-hurricanetyphoon-related-scams

[۴] https://twitter.com/RakeshKrish12/status/1660530829624500224

[۵] https://www.blog.google/products/registry/8-new-top-level-domains-for-dads-grads-tech

[۶] https://news.netcraft.com/archives/2023/05/17/phishing-attacks-already-using-the-zip-tld.html

[۷] https://www.trendmicro.com/en_us/research/23/e/future-exploitation-vector-file-extensions-as-top-level-domains.html

[۸] https://arstechnica.com/information-technology/2023/05/critics-say-googles-new-zip-and-mov-domains-will-be-a-boon-to-scammers

[۹] https://www.wired.com/story/google-zip-mov-domains-phishing-risks

[۱۰] https://thehackernews.com/2023/04/researchers-uncover-thriving-phishing.html