Kullanıcıları kötü amaçlı dosyalar başlatmaya ikna etmek için tarayıcıda sahte Winrar veya Windows Dosya Gezgini Windows'u görüntüleyerek yeni bir 'tarayıcıdaki dosya arşivleri' kimlik avlama kiti zip alanlarını kötüye kullanır.
Bu ayın başlarında Google, web siteleri veya e -posta adreslerini barındırmak için bleepingcomputer.zip gibi Zip TLD alanlarını kaydetme olanağı sunmaya başladı.
TLD'nin piyasaya sürülmesinden bu yana, bir hata olup olmadıkları ve kullanıcılar için siber güvenlik riski oluşturabilecekleri konusunda biraz tartışma oldu.
Bazı uzmanlar korkuların abartılı olduğuna inanırken, ana endişe bazı sitelerin otomatik olarak '.zip' ile biten bir dize, setup.zip gibi, kötü amaçlı yazılım teslimi veya kimlik avı saldırıları için kullanılabilecek tıklanabilir bir bağlantıya dönüştürmesidir.
Örneğin, setup.zip adlı bir dosya indirmek için birine talimatlar gönderirseniz, Twitter otomatik olarak setup.zip'i bir bağlantıya dönüştürür ve kullanıcıları dosyayı indirmek için tıklamaları gerektiğini düşünür.
Bu bağlantıya tıkladığınızda, tarayıcınız sizi başka bir siteye yönlendirebilecek, bir HTML sayfası gösterebilir veya bir dosya indirmenizi isteyebilecek https://setup.zip sitesini açmaya çalışır.
Ancak, tüm kötü amaçlı yazılım teslimatı veya kimlik avı kampanyaları gibi, önce bir kullanıcıyı zorlayıcı olabilecek bir dosya açmaya ikna etmelisiniz.
Güvenlik Araştırmacısı Mr.D0X, kullanıcıları .zip dosyası açıldıklarını düşünmek için kandırmak için zip alanlarında görüntülenen sahte tarayıcı içi Winrar örnekleri ve dosya gezgini pencereleri oluşturmanızı sağlayan akıllı bir kimlik avı aracı geliştirdi.
"Bu kimlik avı saldırısı ile tarayıcıda bir dosya arşivi yazılımı (örn. Winrar) simüle edersiniz ve daha meşru görünmesini sağlamak için bir .zip etki alanı kullanırsınız."
BleepingComputer ile paylaşılan bir gösteride, araç seti, bir .zip alanı açıldığında doğrudan tarayıcıya sahte bir Winrar penceresini gömmek için kullanılabilir, bu da kullanıcının bir fermuarlı arşivi açmış gibi görünmesini ve şimdi içindeki dosyaları görmesini sağlar.
Tarayıcıda görüntülendiğinde güzel görünse de, adres çubuğunu ve kaydırma çubuğunu kaldırabileceğiniz için bir açılır pencere olarak parlar ve aşağıda gösterildiği gibi ekranda görüntülenen bir Winrar penceresi gibi görünür.
Sahte Winrar penceresini daha da ikna edici hale getirmek için, araştırmacılar tıklandığında dosyaların tarandığını ve hiçbir tehdit algılanmadığını söyleyen sahte bir güvenlik tarama düğmesi uyguladılar.
Araç seti hala tarayıcı adres çubuğunu görüntülerken, bazı kullanıcıları bunun meşru bir Winrar arşivi olduğunu düşünmek için kandırması muhtemeldir. Ayrıca, yaratıcı CSS ve HTML, araç setini daha da geliştirmek için kullanılabilir.
Mr.D0X ayrıca bir zip dosyası açıyormuş gibi davranan sahte bir tarayıcı içi Windows dosyası explorer'ı görüntüleyen başka bir varyant da oluşturdu. Bu şablon daha çok devam eden bir çalışma, bazı öğeler eksik.
Mr.D0X, bu kimlik avı araç setinin hem kimlik belgesi hem de kötü amaçlı yazılım teslimi için kullanılabileceğini açıklıyor.
Örneğin, bir kullanıcı sahte Winrar penceresinde bir PDF'ye çift tıkladıysa, ziyaretçiyi dosyayı düzgün bir şekilde görüntülemesini isteyen başka bir sayfaya yönlendirebilir.
Araç seti, tıklandığında benzer şekilde adlandırılmış bir .exe indiren bir PDF dosyası görüntüleyerek kötü amaçlı yazılım sunmak için de kullanılabilir. Örneğin, sahte arşiv penceresi bir belgeyi gösterebilir.
Windows varsayılan olarak dosya uzantıları göstermediğinden, kullanıcı sadece indirme klasöründe bir PDF dosyası görür ve bir yürütülebilir ürün olduğunu fark etmeden potansiyel olarak çift tıkır.
Windows'un dosyaları nasıl aradığı ve bulunmadığı zaman, aranan-for dizesini bir tarayıcıda açmaya çalıştığı özellikle ilgi çekicidir. Bu dize meşru bir alan ise, web sitesi açılacaktır; Aksi takdirde, Bing'den arama sonuçları gösterir.
Birisi ortak bir dosya adıyla aynı olan bir zip etki alanı kaydederse ve birisi Windows'ta bir arama gerçekleştirirse, işletim sistemi siteyi otomatik olarak tarayıcıda açar.
Bu site 'tarayıcıdaki dosya okçuları' kimlik avı kitini barındırdıysa, bir kullanıcıyı Winrar'ın gerçek bir fermuar arşivi gösterdiğini düşünmeye kandırabilir.
Bu teknik, akıllı kimlik avı saldırıları ve kötü amaçlı yazılım teslimi veya kimlik bilgisi hırsızlığı oluşturmak için ZIP alanlarının nasıl istismar edilebileceğini göstermektedir.
Mr.D0X, MFA'yı ve tarayıcıdaki tarayıcı tekniğini atlamak için VNC'yi kimlik avı için kullanma gibi önceki akıllı kimlik avı araçları ile bilinir. Tehdit aktörleri, buhar kimlik bilgilerini çalmak için ikincisini kullandılar.
Windows 11 7-ZIP, RAR ve GZ Arşivleri için Yerel Destek Alıyor
Siber güvenlik uzmanları arasında yeni zip alanları kıvılcım tartışması
Microsoft Testi Geliştirilmiş Explorer Ayrıntıları bölmesi, Windows Spotlight
Rus hackerlar, Ukrayna Devlet Ajansı'nın verilerini silmek için Winrar kullanıyor
Winrar SFX arşivleri tespit edilmeden PowerShell'i çalıştırabilir
Kaynak: Bleeping Computer