Google’ın .zip internet alan adlarını ilk kez sunmaya başlamasından bu yana bir ay bile geçmedi ve insanlar bunu kötü amaçlı yazılım dağıtımı için kötüye kullanmanın akıllı ve yaratıcı bir yolunu çoktan buldular.
Dolandırıcılık, web tarayıcı penceresini sahte bir WinZip veya WinRAR örneğine dönüştürmek ve kurbanı, gerçekte kötü amaçlı yazılım indirirken meşru bir dosya arşivini açtığına inandırmak etrafında dönüyor.
Araştırmacı mr.dox, bir tehdit aktörünün “setup.zip” gibi yeni bir etki alanını nasıl kaydettiğini özetledi. Bir yükleyici dosyası için bir arşive benziyor. Ardından, WinRAR’ın görünümünü ve hissini taklit edecek bir web sitesi oluştururlar – dosya yolu oradadır, simgeler oradadır, her şey meşru görünür. Saldırganlar dolandırıcılığa daha fazla güvenilirlik katmak için sahte bir antivirüs taraması açılır penceresi oluşturarak kurbana arşivdeki dosyaların tarandığını ve herhangi bir tehdit bulunmadığını bildirebilir.
Web sitesi mi, arşiv mi?
Yöntemi bulan araştırmacı, bu kimlik avı kitinin kötü amaçlı yazılım dağıtımı veya kimlik bilgisi hırsızlığı gibi saldırılarda kullanılabileceğini iddia ediyor. Bir kurban, sahte WinRAR penceresindeki sahte bir PDF dosyasına çift tıklayabilir ve oturum açma bilgilerini çalabilecek sahte bir oturum açma sayfasına yönlendirilebilir.
Sahte PDF dosyası, kurbanı kötü amaçlı yazılım indirmesi için kandırarak bir dosya indirme işlemini tetiklemek için de kullanılabilir.
BleepingComputer ayrıca, en son Windows sürümlerinin dosya arama yönteminin de kötüye kullanılabileceğini hatırlatır. Bir kişi arama çubuğuna bir dosya adı yazdığında, işletim sistemi önce yerel depolamayı arar, ancak bir şey bulamazsa sorguyu bir tarayıcıda açmaya çalışır. Aynı ada sahip yasal bir alan varsa, tarayıcıda açılacaktır.
Yayın, “Bu teknik, ZIP alanlarının akıllı kimlik avı saldırıları ve kötü amaçlı yazılım teslimi veya kimlik bilgisi hırsızlığı oluşturmak için nasıl kötüye kullanılabileceğini gösteriyor” diye bitiriyor yayın.
Aracılığıyla: BleepingBilgisayar
