Este artigo foi traduzido originalmente do blog da Kaspersky
Os nomes de sites nos domínios ZIP e MOV são indistinguíveis dos nomes de arquivos. Como isso afetará os sistemas de TI e o que os agentes de ameaças farão?
Estamos acostumados a nomes de sites que terminam em .com, .org, .net e assim por diante. Nos últimos anos, novas extensões de domínio apareceram, como .aero, .club e outras. Estes são conhecidos como domínios de nível superior (TLDs ) e o lista, já há muito tempo, recebe novas adições de vez em quando. Google anunciado em maio, mais oito domínios estavam disponíveis, dois deles indistinguíveis das extensões de arquivo populares: .zip e .mov. A medida foi recebida com críticas de especialistas em TI e informações, pois garante praticamente confusão, uma bagunça no manuseio de links e novos padrões de phishing.
Como confundir .zip e .zip
Os arquivos ZIP e MOV existem há décadas: .zip é o padrão de arquivamento de fato e .mov é um dos contêineres de vídeo mais populares. O Google está visando esses novos domínios MOV e ZIP em técnicos, mas na verdade ambos estão disponíveis para qualquer pessoa e para qualquer finalidade.
Agora, apenas o contexto pode ajudá-lo a descobrir se um ZIP ou MOV é um site ou arquivo quando você se depara, digamos, update.zip. No entanto, o contexto é algo que os humanos podem entender, mas não computadores, portanto, uma referência como essa pode causar problemas em todos os tipos de aplicativos, como o Twitter:
O tweet se refere claramente a arquivos, mas o Twitter transforma os nomes dos arquivos em links da web. Se alguém registrar os domínios test.zip e film.mov, aqueles que clicarem nos links do arquivo poderão ser vítimas de algum tipo específico de esquema de phishing.
O pesquisador de segurança mr.d0x encontrou outra maneira de explorar o domínio .zip para phishing. O técnica que ele descreveu, chamado arquivo-arquivador-no-na-na-na-navegador, envolve o uso de sites que imitam a interface do utilitário do arquivador. O usuário, acreditando que está abrindo um arquivo .zip, é realmente redirecionado para o site com o mesmo nome e, em vez de uma lista de arquivos, ele vê URLs que podem levar a qualquer lugar. Por exemplo, eles podem ocultar um link para baixar um malware executável ou levar a uma solicitação de credenciais de trabalho para acessar algum documento. O mesmo documento também descreve um mecanismo de entrega interessante usando o Windows File Explorer. Se o invasor conseguir convencer sua vítima a procurar um arquivo .zip inexistente, o File Explorer abrirá automaticamente um site no domínio com o mesmo nome.
A ameaça de phishing já é real, com alguns .sites de phishing .zip que exploram o tema de atualização do Windows que foi detectado.
Não que seja a primeira vez que vimos confusão semelhante a isso. Um dos domínios originais, .com, também é uma extensão legítima para executáveis usados ativamente no MS-DOS ( e versões mais antigas do Windows ), enquanto o .sh extensão usada para scripts Unix é idêntica à TLD para o território ultramarino britânico de Santa Helena, Ascensão e Tristão da Cunha. Ainda assim, são o ZIP e o MOV, que são populares entre o público não tão técnico, que têm o potencial de causar problemas aos usuários e administradores de sistema. Mesmo se você esquecer o phishing por um momento, situações como a descrita no tweet acima podem ocorrer em dezenas de aplicativos que processam automaticamente texto e destacam links. Portanto, a qualquer momento, qualquer texto que contenha um nome de arquivo pode se transformar em texto que contenha um hiperlink para um site externo. Um esquema de phishing ou não, isso poderia, no mínimo, causar inconvenientes, se não perplexos. Visita finanstatement.zip para ver por si mesmo.
Dicas para usuários
O advento dos domínios ZIP e MOV não levará a mudanças drásticas no ecossistema de phishing e golpe online —, apenas adicionará mais uma arma aos hackers ’ já vasto arsenal. Portanto, nosso costume dicas anti-phishing permaneça inalterado: estude todos os links de perto antes de clicar; cuidado com anexos e URLs em email não solicitado; não clique em links suspeitos; e não se esqueça de use segurança adequada em todos os seus dispositivos — até smartphones e Macs.
Dicas para administradores
Alguns usuários podem ignorar os conselhos acima; portanto, dependendo de como sua organização opera, pode ser necessário configurar regras de segurança separadas para nomes de domínio .zip e .mov. As medidas possíveis incluem uma verificação de link mais rigorosa ou até mesmo bloqueando completamente os usuários de sites visitantes nesses domínios em computadores corporativos. Isso não seria sem precedentes: o .domínio .bit foi amplamente bloqueado e desapareceu gradualmente devido a um dilúvio de links maliciosos em 2018 – 2019.
O aparecimento dos domínios ZIP e MOV é uma excelente ocasião para conduta — ou repita! — treinamento infosec para funcionários ( com foco na detecção de phishing ).
Recomenda-se que os administradores de TI testem quaisquer sistemas de negócios importantes que processem links para ver como eles lidam com sites .zip e .mov, e se o uso de arquivos ZIP for acompanhado de efeitos indesejáveis. Os sistemas de correio, aplicativos corporativos de mensagens instantâneas e serviços de compartilhamento de arquivos dos funcionários devem ser monitorados de perto, pois é aí que é mais provável que a confusão reine. Recursos indesejáveis, como criação automática de links com base em determinados padrões de nomes, podem ser desativados para ZIP e MOV ou em todos os setores.
