Ubilibet - Tendencias Ciberocupacion 2022

Por qué .ZIP y .MOV representan un peligro para los usuarios

Algunas extensiones utilizadas para dominios de nivel superior, como .zip y .mov , también son extensiones para tipos de archivos de uso común.

Los usuarios están acostumbrados a considerar este tipo de extensión como una referencia a un archivo específico, por ejemplo, una extensión .zip sugiere el formato de un archivo comprimido , mientras que una extensión .mov se refiere a un archivo con contenido de video.

¿Qué tiene que ver esto con la seguridad? ¿Por qué los dominios .zip y .mov pueden representar un riesgo para los usuarios?

Dominios .zip y .mov, una nueva oportunidad para propagar malware

.zip y .mov también son extensiones de archivo conocidas, por lo tanto, cuando un usuario recibe un enlace, por ejemplo en un correo electrónico, que lo invita a hacer clic en un enlace que parece conducir a una ruta para descargar un archivo .zip o .mov podrían usar este enlace con la creencia de que están descargando un archivo comprimido o un archivo de video y, en su lugar, ser dirigidos a sitios fraudulentos.

Básicamente, estos nuevos TLD se pueden usar para campañas de phishing o para actividades destinadas a propagar malware, diseñadas adecuadamente para confundir a los usuarios y redirigirlos a sitios maliciosos con la creencia de que están descargando o abriendo archivos con formatos que conocen.

¿Cómo crean los hackers direcciones URL que parecen legítimas?

La pregunta sigue siendo: “¿Cómo es posible confundir una URL que parece apuntar a un archivo con una que redirige la navegación a una página web de un sitio web .zip o .mov fraudulento?”.

Esto es posible con un uso combinado de los caracteres @ y los caracteres Unicode U+2044 (⁄) y U+2215 (∕) que se parecen mucho al carácter / .

El operador @ generalmente se usa para indicar el final de la parte de la cadena que contiene información relacionada con el usuario, incluida la autenticación.

Los navegadores, por razones de seguridad, consideran la parte de la cadena URL entre https:// y el símbolo @ como información del usuario y, por lo tanto, no forman parte de la dirección de destino e ignoran esa parte de la cadena considerando todo lo que está después de @ como el nombre de host de destino .

/ se inserta en la URL antes del operador @, el navegador considerará todo lo que / como una ruta local, considerando solo la parte de la cadena que precede al / carácter como el host de destino.

Sin embargo, al utilizar los caracteres Unicode U+2044 (⁄) y U+2215 (∕ ), que no se interpretan como operadores como el carácter antes mencionado, un atacante puede enmascarar el nombre de host de destino real del usuario y hacer que el navegador se active. volver a ignorar todo entre https:// y @.

Esta posible ruta de ataque, ya explotada por campañas de phishing, fue descubierta y demostrada por un investigador que probó su funcionamiento usando los siguientes dos enlaces como ejemplo:

  • El enlace legítimo a un archivo comprimido a un repositorio en Github , al hacer clic en el que realmente descarga este archivo, archivo comprimido. https://github[.]com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271[.]zip
  • Un enlace casi idéntico a primera vista https://github[.]com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271[.]zip que, utilizando la combinación anterior de caracteres Unicode U+2044 (⁄) o U +2215 (∕) y @ , en su lugar abre un sitio web en el dominio .zip, v.1271[.]zip , que un atacante potencial puede haber registrado para realizar phishing o propagar malware.

Además, al crear correos electrónicos de phishing y hacerlos más convincentes, los atacantes tienden a minimizar el tamaño de fuente del símbolo @, haciéndolo prácticamente invisible en el texto del correo electrónico y solo detectable cuando pasa el mouse sobre el enlace.

Con esta precaución adicional, los dos eslabones del ejemplo serían prácticamente indistinguibles a primera vista.

Cómo reconocer intentos de phishing en dominios .zip y .mov

Los dominios .zip y .mov brindan a los piratas informáticos más oportunidades para diseñar campañas de phishing que pueden confundir a los usuarios.

Debe prestar mucha atención a la URL antes de hacer clic en un enlace.

En particular, se recomienda:

  • Tenga cuidado con las URL que contienen caracteres Unicode U+2044 (⁄) y U+2215 (∕) que se parecen mucho al carácter /
  • Tenga cuidado con las URL que contienen operadores @ seguidos de archivos .zip
  • Pase el cursor sobre la URL antes de hacer clic para ver la ruta a la URL expandida
  • Siempre adopte todas las debidas precauciones al evaluar la legitimidad del correo electrónico.

Autor:
Alessio Rossi
Southern Europe Chief Information Security Officer
Register (Grupo team.blue)

Accede el artículo original aquí.

Registra tus dominios .ZIP y .MOV

¿Quieres registrar un dominio .zip o .moz y no sabes cómo? ¿Ya está registrado por un tercero y quieres obtenerlo? Contacta con nosotros, ¡registramos todos los dominios del mundo!

Scroll to Top