Cyberkriminelle har udtænkt en ny phishing-teknik kendt som "filarkivering i browseren" for at skabe en webbaseret simulering af filarkiveringssoftware på .ZIP-domæner, der snyder intetanende ofre.
Sikkerhedsforsker mr.d0x afslørede for nylig denne metode og forklarede, at ved at bruge et .zip-domæne kan angribere få deres falske websteder til at fremstå mere legitime.
I dette phishing-scenarie designer trusselsaktører en phishing-destinationsside, der minder meget om autentisk filarkiveringssoftware ved hjælp af HTML og CSS. Ved at hoste denne side på et .zip-domæne forbedrer de deres social engineering-kampagner. Et potentielt angreb involverer at omdirigere brugere til en legitimationsindsamlingsside, når de klikker på en fil, der angiveligt er "indeholdt" i det falske ZIP-arkiv.
En anden vildledende taktik er at præsentere en ikke-eksekverbar fil i arkivet, som udløser download af en eksekverbar fil, når brugeren forsøger at downloade den. For eksempel kan et klik på en "invoice.pdf"-fil starte download af en ondsindet .exe-fil eller enhver anden skadelig fil.
Desuden kan søgelinjen i Windows File Explorer tjene som en skjult kanal til phishing. Hvis en bruger søger efter en ikke-eksisterende .ZIP-fil, men søgeordet svarer til et legitimt .zip-domæne, åbner browseren det ondsindede websted direkte.
Har Google dummet sig?
Denne udvikling falder sammen med Googles introduktion af otte nye topdomæner (TLD'er), herunder ".zip" og ".mov." Selvom disse udvidelser repræsenterer legitime filtyper, skaber de også forvirring for brugere, der måske ubevidst besøger ondsindede websteder i stedet for at åbne filer, hvilket potentielt kan føre til utilsigtede malware-downloads.
Trend Micro advarer om, at ZIP-filer almindeligvis bruges som en del af den indledende fase af et angreb, typisk downloadet efter en bruger interagerer med en ondsindet URL eller åbner en vedhæftet fil i e-mail. Introduktionen af ​​.zip TLD kan få ondsindede aktører til at udnytte ZIP-relaterede URL'er til at distribuere malware.
Der er delte meninger om risici forbundet med ligheden mellem domænenavne og filnavne. Det forventes dog at give dårlige skuespillere en ekstra phishing-vektor.
I en relateret udvikling rapporterede Group-IB, en cybersikkerhedsvirksomhed, en stigning på 25% i brugen af ​​phishing-sæt i 2022, hvilket identificerede 3.677 unikke kits – en betydelig stigning fra året før. Navnlig er brugen af ​​Telegram til at indsamle stjålne data næsten fordoblet fra 5,6% i 2021 til 9,4% i 2022.
Phishing-angreb bliver mere sofistikerede, hvor cyberkriminelle inkorporerer teknikker til at unddrage sig opdagelse såsom antibots og dynamiske mapper i deres sæt. Ved at oprette webstedsmapper, der kun er tilgængelige via personlige phishing-URL'er, kan phishere unddrage sig registrering og sortliste.
Ifølge en Perception Point-rapport steg antallet af avancerede phishing-angreb forsøgt af trusselsaktører med 356 % i 2022, hvor det samlede antal angreb steg med 87 % i løbet af året.
Hold din Microsoft 365 konto sikker
Dette udviklende landskab af phishing-skemaer er eksemplificeret ved nylige angreb, der udnytter kompromitterede Microsoft 365-konti og krypterede e-mails med begrænset tilladelse (.rpmsg) til at indsamle brugeroplysninger. Angribere anvender krypterede .rpmsg-meddelelser til at skjule phishing-indhold, herunder URL-links, fra e-mail-scanningsgateways.
Proofpoint fremhævede også et potentielt misbrug af legitime funktioner i Microsoft Teams, hvor angribere erstatter standard-URL'er med ondsindede links ved hjælp af API-kald, især i kompromitterede mødeinvitationer.
Angribere kan også manipulere eksisterende links i sendte beskeder ved at bruge Teams' API eller brugergrænseflade, og erstatte godartede links med links til ondsindede websteder eller ondsindede ressourcer, som bemærket af virksomhedens sikkerhedsfirma.