Una nueva técnica de phishing llamada "archivo comprimido en el navegador" puede ser aprovechada para "simular" un software de archivo comprimido en un navegador web cuando una vÃctima visita un dominio .ZIP.
"Con este ataque de phishing, se simula un software de archivo comprimido (por ejemplo, WinRAR) en el navegador y se utiliza un dominio .zip para que parezca más legÃtimo", reveló la semana pasada el investigador de seguridad mr.d0x. En resumen, los actores de amenazas podrÃan crear una página de aterrizaje de phishing con un aspecto realista utilizando HTML y CSS, que imita software de archivo de archivos legÃtimo, y alojarlo en un dominio .zip, lo que aumenta las campañas de ingenierÃa social.
En un escenario de ataque potencial, un delincuente podrÃa recurrir a este engaño para redirigir a los usuarios a una página de recolección de credenciales cuando se haga clic en un archivo "contenido" dentro del falso archivo ZIP. "Otro caso de uso interesante es listar un archivo no ejecutable y cuando el usuario hace clic para iniciar la descarga, descarga un archivo ejecutable", señaló mr.d0x. "Digamos que tienes un archivo 'invoice.pdf'. Cuando un usuario hace clic en este archivo, iniciará la descarga de un archivo .exe u otro archivo".
Además, la barra de búsqueda en el Explorador de archivos de Windows puede convertirse en un conducto astuto donde buscar un archivo .ZIP inexistente lo abra directamente en el navegador web si el nombre del archivo corresponde a un dominio .zip legÃtimo.
"Esto es perfecto para este escenario, ya que el usuario esperarÃa ver un archivo ZIP", dijo el investigador. "Una vez que el usuario realice esto, se lanzará automáticamente el dominio .zip que tiene la plantilla de archivo comprimido, lo que parece bastante legÃtimo". Este desarrollo se produce cuando Google ha lanzado ocho nuevos dominios de nivel superior (TLD, por sus siglas en inglés), incluyendo ".zip" y ".mov", lo cual ha generado algunas preocupaciones de que pueda dar lugar a phishing y otros tipos de estafas en lÃnea.
Esto se debe a que tanto .ZIP como .MOV son nombres legÃtimos de extensiones de archivo, lo que potencialmente confunde a los usuarios desprevenidos y los lleva a visitar un sitio web malicioso en lugar de abrir un archivo, engañándolos para que descarguen accidentalmente malware.
"Los archivos ZIP suelen utilizarse como parte de la etapa inicial de una cadena de ataque, generalmente siendo descargados después de que un usuario accede a una URL maliciosa o abre un archivo adjunto de correo electrónico", dijo Trend Micro. "Además de que los archivos ZIP se utilicen como carga útil, es probable que los actores maliciosos utilicen URLs relacionadas con ZIP para descargar malware con la introducción del TLD .zip".
Si bien las reacciones son decididamente mixtas respecto al riesgo que representa la confusión entre los nombres de dominio y los nombres de archivo, se espera que esto proporcione a los actores que actúan de mala fe otro vector para realizar phishing. Este descubrimiento también coincide con el informe de la empresa de ciberseguridad Group-IB, que indica un aumento del 25% en el uso de kits de phishing en 2022, identificando 3,677 kits únicos en comparación con el año anterior.
De particular interés es el aumento en la tendencia de utilizar Telegram para recopilar datos robados, casi duplicándose del 5.6% en 2021 al 9.4% en 2022.
Pero eso no es todo. Los ataques de phishing también se están volviendo más sofisticados, ya que los ciberdelincuentes se centran cada vez más en cargar los kits con capacidades de evasión de detección, como el uso de antibots y directorios dinámicos. "Los operadores de phishing crean carpetas aleatorias en el sitio web que solo son accesibles para el destinatario de una URL de phishing personalizada y no se pueden acceder sin el enlace inicial", dijo la empresa con sede en Singapur.
"Esta técnica permite a los estafadores evadir la detección y el bloqueo, ya que el contenido de phishing no se revelará". Según un nuevo informe de Perception Point, el número de ataques de phishing avanzados intentados por actores de amenazas en 2022 aumentó un 356%. El número total de ataques aumentó un 87% a lo largo del año. Esta evolución continua de los esquemas de phishing se ejemplifica en una nueva ola de ataques que se han observado utilizando cuentas comprometidas de Microsoft 365 y correos electrónicos cifrados con permisos restringidos (.rpmsg) para obtener las credenciales de los usuarios.
"El uso de mensajes cifrados .rpmsg significa que el contenido de phishing del mensaje, incluidos los enlaces URL, se oculta a los gateways de escaneo de correo electrónico", explicaron los investigadores de Trustwave, Phil Hay y Rodel Mendrez. Otro ejemplo destacado por Proofpoint implica el posible abuso de funciones legÃtimas en Microsoft Teams para facilitar el phishing y la entrega de malware, incluido el uso de invitaciones a reuniones después de la intrusión, reemplazando las URL predeterminadas por enlaces maliciosos a través de llamadas de API.
"Un enfoque diferente que los atacantes pueden utilizar, si tienen acceso al token de un usuario de Teams, es utilizar la API o la interfaz de usuario de Teams para convertir en armas los enlaces existentes en los mensajes enviados", señaló la empresa de seguridad empresarial. "Esto se puede hacer simplemente reemplazando los enlaces benignos por enlaces que apunten a sitios web maliciosos o recursos maliciosos".
¿Quieres saber más?