خطر فیشینگ؛ این بار در فایل Zip.

یک تکنیک جدید فیشینگ به نام “file archiver in the browser” وجود دارد که می‌تواند برای “تقلید” از یک نرم‌افزار آرشیو کننده فایل، در یک مرورگر زمانی که کاربر یک دامنه .ZIP را می‌بیند، مورد استفاده قرار بگیرد. پژوهشگر امنیتی به نام mr.d0x هفته گذشته گفت “با این حمله فیشینگ، شما یک نرم‌افزار آرشیو ساز فایل (مانند WinRAR) را در مرورگر شبیه‌سازی می‌کنید و از یک دامنه .zip استفاده می‌کنید تا آن را طبیعی جلوه دهید.”

این کلاهبرداران، به طور خلاصه، می‌توانند یک صفحه فرود فیشینگ با ظاهر طبیعی با استفاده از HTML و CSS ایجاد کنند؛ که نرم‌افزار آرشیو ساز فایل معتبر را شبیه‌سازی کند و آن را بر روی یک دامنه .zip میزبانی کند. در یک سناریوی حمله احتمالی، یک فرد کلاهبردار می‌تواند از چنین حقه‌ای استفاده کند تا کاربران را به صفحه مورد نظرشان که برای فیشینگ در نظر دارند و هدفشان اینست که کاربر بر روی فایل دارای ZIP جعلی کلیک کنند، منتقل کند.

mr.d0x همچنین بیان کرد “یک کاربرد جالب دیگر این است که یک فایل غیر قابل اجرا را لیست کنید و هنگامی که کاربر برای شروع دانلود کلیک می‌کند، یک فایل قابل اجرا را دانلود می‌کند. فرض کنید که شما یک فایل ‘invoice.pdf’ دارید؛ هنگامی که کاربر بر روی این فایل کلیک می‌کند، دانلود یک فایل .exe یا هر فایل دیگری را اجرا می‌کند.” به علاوه، نوار جستجو در File Explorer ویندوز می‌تواند به عنوان یک کانال مخفیانه در نظر گرفته شود، که در آن جستجو برای یک فایل .ZIP غیرموجود، آن را مستقیما در مرورگر باز می‌کند (اگر نام فایل با یک دامنه .zip معتبر مطابقت داشته باشد.)

mr.d0x اضافه کرد “این سناریو عالی است زیرا کاربر انتظار دارد یک فایل ZIP را ببیند. هنگامی که کاربر این کار را انجام می‌دهد، دامنه .zip را که قالب آرشیو فایل را دارد، خودکار راه‌اندازی می‌کند، بنابراین بسیار عادی به نظر می‌رسد.” این توسعه در حالی رخ داده است که گوگل هشت دامنه سطح بالا (TLDs) جدید، از جمله “.zip” و “.mov”، را عرضه کرده است که برخی نگرانی‌ها را از آنجا که ممکن است فیشینگ و دیگر انواع کلاهبرداری‌های آنلاین را ساده کند، برانگیخته است.

این به این دلیل است که .ZIP و .MOV هر دو نام‌های معتبر فایل هستند، که ممکن است کاربران را گیج کند تا به جای باز کردن یک فایل، یک وب‌سایت را مشاهده کنند که آن‌ها را فریب دهد تا به طور تصادفی malware را دانلود کنند. بنابر اطلاعات Trend Micro “فایل‌های ZIP اغلب به عنوان مراحل اولیه زنجیره حمله هکری استفاده می‌شوند، بعد از اینکه کاربر به یک URL هک شده منتقل می‌شود و یا یک پیوست ایمیل را باز می‌کند.”

“فراتر از استفاده از آرشیوهای ZIP به عنوان طعمه، احتمال دارد که هکرها از URL‌های مرتبط با ZIP برای دانلود malware با معرفی دامنه .zip استفاده کنند.”
شرکت امنیت سایبری گروه IB اعلام کرده است که یک رشد 25 درصدی در استفاده از کیت‌های فیشینگ در سال 2022 را شناسایی کرده است؛ با شناسایی 3,677 کیت منحصر به فرد، در مقایسه با سال قبل. چیزی که به ویژه مورد توجه است، افزایش روند استفاده از تلگرام برای جمع‌آوری داده‌های دزدیده شده است، که تقریبا از 5.6 درصد در سال 2021، به 9.4 درصد در سال 2022 افزایش یافته است.

این همه داستان نیست. حملات فیشینگ همچنین در حال پیچیده‌تر شدن هستند؛ با تمرکز بیشتر جنایتکاران سایبری بر ایجاد کیت‌های غیرقابل تشخیص، مانند استفاده از anti‌bots و دایرکتوری‌های پویا.

شرکتی مستقر در سنگاپور گفت “اپراتورهای فیشینگ پوشه‌های تصادفی وب‌سایت را ایجاد می‌کنند که فقط قابل دسترسی توسط گیرنده URL فیشینگ شخصی‌سازی شده است و بدون پیوند اولیه قابل دسترسی نیست. این تکنیک به فیشینگ کنندگان اجازه می‌دهد تا تشخیص داده نشوند و در لیست سیاه هم قرار نگیرند، زیرا محتوای فیشینگ خود را آشکار نخواهد کرد.”

منبع: thehackernews