Se puede aprovechar una nueva técnica de phishing llamada «archivador de archivos en el navegador» para «emular» un software de archivador de archivos en un navegador web cuando una víctima visita un dominio .ZIP.
«Con este ataque de phishing, simulan un software de archivado de archivos (por ejemplo, WinRAR) en el navegador y usan un dominio .zip para que parezca más legítimo», reveló la semana pasada el investigador de seguridad mr.d0x .
Los actores de amenazas, en pocas palabras, podrían crear una página de inicio de phishing de aspecto realista utilizando HTML y CSS que imita el software de archivo de archivos legítimo y alojarlo en un dominio .zip, elevando así las campañas de ingeniería social .
En un escenario de ataque potencial, un malhechor podría recurrir a tales trucos para redirigir a los usuarios a una página de recolección de credenciales cuando se hace clic en un archivo «contenido» dentro del archivo ZIP falso.
«Otro caso de uso interesante es enumerar un archivo no ejecutable y cuando el usuario hace clic para iniciar una descarga, descarga un archivo ejecutable», señaló mr.d0x. «Digamos que tiene un archivo ‘factura.pdf’. Cuando un usuario hace clic en este archivo, se iniciará la descarga de un .exe o cualquier otro archivo».
Además de eso, la barra de búsqueda en el Explorador de archivos de Windows puede emerger como un conducto furtivo donde la búsqueda de un archivo .ZIP inexistente lo abre directamente en el navegador web si el nombre del archivo corresponde a un dominio .zip legítimo .
«Esto es perfecto para este escenario, ya que el usuario esperaría ver un archivo ZIP», dijo el investigador. «Una vez que el usuario realice esto, se iniciará automáticamente el dominio .zip que tiene la plantilla de archivo de archivo, que parece bastante legítimo».
El desarrollo se produce cuando Google lanzó ocho nuevos dominios de nivel superior (TLD), incluidos «.zip» y «.mov», que han generado algunas preocupaciones de que podría invitar al phishing y otros tipos de estafas en línea.
Esto se debe a que .ZIP y .MOV son nombres de extensión de archivo legítimos, lo que podría confundir a los usuarios desprevenidos para que visiten un sitio web malicioso en lugar de abrir un archivo y engañarlos para que descarguen accidentalmente malware.
«Los archivos ZIP a menudo se usan como parte de la etapa inicial de una cadena de ataque, y generalmente se descargan después de que un usuario accede a una URL maliciosa o abre un archivo adjunto de correo electrónico», dijo Trend Micro .
«Más allá de que los archivos ZIP se usen como carga útil, también es probable que los actores maliciosos usen URL relacionadas con ZIP para descargar malware con la introducción del TLD .zip».
Si bien las reacciones son decididamente mixtas sobre el riesgo que representa como resultado de la confusión entre los nombres de dominio y los nombres de archivo, se espera que equipe a los actores que actúan de mala fe con otro vector más para el phishing.
El descubrimiento también se produce cuando la empresa de ciberseguridad Group-IB dijo que detectó un aumento del 25 % en el uso de kits de phishing en 2022, identificando 3677 kits únicos, en comparación con el año anterior.
De particular interés es el repunte en la tendencia de usar Telegram para recopilar datos robados, casi duplicándose del 5,6 % en 2021 al 9,4 % en 2022.
Eso no es todo. Los ataques de phishing también se están volviendo más sofisticados, y los ciberdelincuentes se enfocan cada vez más en empaquetar los kits con capacidades de evasión de detección, como el uso de antibots y directorios dinámicos.
«Los operadores de phishing crean carpetas aleatorias de sitios web a las que solo puede acceder el destinatario de una URL de phishing personalizada y no se puede acceder sin el enlace inicial», dijo la firma con sede en Singapur .
«Esta técnica permite a los phishers evadir la detección y la lista negra, ya que el contenido de phishing no se revelará».
Según un nuevo informe de Perception Point, la cantidad de ataques de phishing avanzados intentados por actores de amenazas en 2022 aumentó un 356 %. El número total de ataques aumentó un 87 % en el transcurso del año.
Esta evolución continua de los esquemas de phishing se ejemplifica con una nueva ola de ataques que se han observado aprovechando cuentas comprometidas de Microsoft 365 y correos electrónicos cifrados con mensajes de permiso restringido (.rpmsg) para recopilar las credenciales de los usuarios.
«El uso de mensajes .rpmsg encriptados significa que el contenido de phishing del mensaje, incluidos los enlaces URL, se oculta de las puertas de enlace de escaneo de correo electrónico», explicaron los investigadores de Trustwave Phil Hay y Rodel Mendrez .
Otra instancia destacada por Proofpoint implica el posible abuso de funciones legítimas en Microsoft Teams para facilitar la entrega de phishing y malware, incluida la utilización de invitaciones a reuniones posteriores al compromiso al reemplazar las URL predeterminadas con enlaces maliciosos a través de llamadas API.
«Un enfoque diferente que los atacantes pueden utilizar, dado el acceso al token de Teams de un usuario, es usar la API o la interfaz de usuario de Teams para armar los enlaces existentes en los mensajes enviados», señaló la empresa de seguridad empresarial.
«Esto podría hacerse simplemente reemplazando los enlaces benignos con enlaces que apuntan a sitios web nefastos o recursos maliciosos».
Fuente y redacción: thehackernews.com