Por qué .ZIP y .MOV representan un peligro para los usuarios

Algunas extensiones utilizadas para dominios de nivel superior, como .zip y .mov , también son extensiones para tipos de archivos de uso común.

Los usuarios están acostumbrados a considerar este tipo de extensión como una referencia a un archivo específico, por ejemplo, una extensión .zip sugiere el formato de un archivo comprimido , mientras que una extensión .mov se refiere a un archivo con contenido de video.

¿Qué tiene que ver esto con la seguridad? ¿Por qué los dominios .zip y .mov pueden representar un riesgo para los usuarios?

Dominios .zip y .mov, una nueva oportunidad para propagar malware

.zip y .mov también son extensiones de archivo conocidas, por lo tanto, cuando un usuario recibe un enlace, por ejemplo en un correo electrónico, que lo invita a hacer clic en un enlace que parece conducir a una ruta para descargar un archivo .zip o .mov podrían usar este enlace con la creencia de que están descargando un archivo comprimido o un archivo de video y, en su lugar, ser dirigidos a sitios fraudulentos.

Básicamente, estos nuevos TLD se pueden usar para campañas de phishing o para actividades destinadas a propagar malware, diseñadas expresamente para confundir a los usuarios y redirigirlos a sitios maliciosos con la creencia de que están descargando o abriendo archivos con formatos que conocen.

¿Cómo crean los hackers direcciones URL que parecen legítimas?

La pregunta es: ¿cómo es posible confundir una URL que parece apuntar a un archivo con una que redirige la navegación a una página web fraudulenta con extensión .zip o .mov?

Esto es posible con un uso combinado de los caracteres @ y los caracteres Unicode U+2044 ( ⁄ ) y U+2215 ( ∕ ) que, como puede apreciar, se parecen mucho al carácter / .

El operador @ generalmente se usa para indicar el final de la parte de la cadena que contiene información relacionada con el usuario, incluida la autenticación.

Los navegadores, por razones de seguridad, consideran la parte de la cadena URL entre https:// y el símbolo @ como información del usuario y, por lo tanto, no forman parte de la dirección de destino e ignoran esa parte de la cadena considerando todo lo que está después de @ como el nombre de host de destino.

Sin embargo, si el carácter / es inserido en la URL antes del operador @ el navegador considerará todo lo que vaya después de / como local path, considerando todo lo anterior al carácter / como host de destino.

En cambio, al utilizar los caracteres Unicode U+2044 ( ⁄ ) y U+2215 ( ∕ ), que no se interpretan como operadores, un atacante puede enmascarar el nombre de host de destino real del usuario y hacer que el navegador ignore todo entre https:// y @.

Esta posible ruta de ataque, ya explotada por campañas de phishing, fue descubierta y demostrada por un investigador que probó su funcionamiento usando los siguientes enlaces como ejemplo:

Enlace legítimo:

https://github[.]com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271[.]zip

Enlace legítimo a un archivo comprimido en un repositorio en Github. Al hacer clic en él, se descarga el archivo comprimido.

Enlace fraudulento:

https://github[.]com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271[.]zip

Un enlace casi idéntico a primera vista que, utilizando la combinación anteriormente mencionada de caracteres Unicode U+2044 ( ⁄ ) o U +2215 ( ∕ ) y @ , en su lugar abre un sitio web en el dominio .zip, v.1271[.]zip , que un atacante potencial puede haber registrado para realizar phishing o propagar malware.

Además, para crear correos electrónicos de phishing más convincentes, los atacantes tienden a minimizar el tamaño de fuente del símbolo @, haciéndolo prácticamente invisible en el texto del correo electrónico y solo detectable cuando pasa el mouse sobre el enlace.

Con este artificio, las URLs son prácticamente indistinguibles a primera vista.

Cómo reconocer intentos de phishing en dominios .zip y .mov

Los dominios .zip y .mov brindan a los piratas informáticos más oportunidades para diseñar campañas de phishing que pueden confundir a los usuarios.

Es necesario prestar mucha atención a la URL antes de hacer clic en un enlace.

En particular, se recomienda:

  • Tener cuidado con las URL que contienen caracteres Unicode U+2044 ( ⁄ ) y U+2215 ( ∕ ) que se parecen mucho al carácter /.
  • Tener cuidado con las URL que contienen operadores @ seguidos de archivos .zip.
  • Pasar el cursor sobre la URL antes de hacer clic para ver la ruta a la URL expandida.
  • Siempre adoptar todas las debidas precauciones al evaluar la legitimidad del correo electrónico.

Autor:
Alessio Rossi
Southern Europe Chief Information Security Officer
Register (Grupo team.blue)

Accede el artículo original aquí.

Registra tus dominios .ZIP y .MOV

¿Quieres registrar un dominio .zip o .moz y no sabes cómo? ¿Ya está registrado por un tercero y quieres obtenerlo? Contacta con nosotros, ¡registramos todos los dominios del mundo!

Scroll al inicio