Se puede aprovechar una nueva técnica de phishing llamada «archivador de archivos en el navegador» para «emular» un software de archivador de archivos en un navegador web cuando una víctima visita un dominio .ZIP.
«Con este ataque de phishing, simula un software de archivado de archivos (por ejemplo, WinRAR) en el navegador y usa un dominio .zip para que parezca más legítimo», el investigador de seguridad mr.d0x revelado la semana pasada.
Los actores de amenazas, en pocas palabras, podrían crear una apariencia realista página de inicio de phishing usando HTML y CSS que imita el software legítimo de archivo de archivos y alójelo en un dominio .zip, elevando así campañas de ingeniería social.
En un escenario de ataque potencial, un malhechor podría recurrir a tales trucos para redirigir a los usuarios a una página de recolección de credenciales cuando se hace clic en un archivo «contenido» dentro del archivo ZIP falso.
«Otro caso de uso interesante es enumerar un archivo no ejecutable y cuando el usuario hace clic para iniciar una descarga, descarga un archivo ejecutable», señaló mr.d0x. «Digamos que tiene un archivo ‘factura.pdf’. Cuando un usuario hace clic en este archivo, se iniciará la descarga de un .exe o cualquier otro archivo».
Además de eso, la barra de búsqueda en el Explorador de archivos de Windows puede emerger como un conducto furtivo donde la búsqueda de un archivo .ZIP inexistente lo abre directamente en el navegador web si el nombre del archivo corresponde a un archivo legítimo. dominio .zip.
«Esto es perfecto para este escenario, ya que el usuario esperaría ver un archivo ZIP», dijo el investigador. «Una vez que el usuario realice esto, se iniciará automáticamente el dominio .zip que tiene la plantilla de archivo de archivo, que parece bastante legítimo».
El desarrollo viene como Google desplegado ocho nuevos dominios de nivel superior (TLD), incluidos «.zip» y «.mov», que han planteado algunas preocupaciones de que podría invitar a la suplantación de identidad y otros tipos de estafas en línea.
Esto se debe a que .ZIP y .MOV son nombres de extensión de archivo legítimos, lo que podría confundir a los usuarios desprevenidos para que visiten un sitio web malicioso en lugar de abrir un archivo y engañarlos para que descarguen accidentalmente malware.
«Los archivos ZIP a menudo se usan como parte de la etapa inicial de una cadena de ataque, y generalmente se descargan después de que un usuario accede a una URL maliciosa o abre un archivo adjunto de correo electrónico», Trend Micro dicho.
«Más allá de que los archivos ZIP se usen como carga útil, también es probable que los actores maliciosos usen URL relacionadas con ZIP para descargar malware con la introducción del TLD .zip».
Mientras reacciones son decididamente mixto sobre el riesgo que representa como resultado de la confusión entre nombres de dominio y nombres de archivo, se espera que equipe a los actores que actúan de mala fe con otro vector para el phishing.
El descubrimiento también se produce cuando la empresa de ciberseguridad Group-IB dijo que detectó un aumento del 25 % en el uso de kits de phishing en 2022, identificando 3677 kits únicos, en comparación con el año anterior.
De particular interés es el repunte en la tendencia de usar Telegram para recopilar datos robados, casi duplicándose del 5,6 % en 2021 al 9,4 % en 2022.
Eso no es todo. Los ataques de phishing también se están volviendo más sofisticados, y los ciberdelincuentes se enfocan cada vez más en empaquetar los kits con capacidades de evasión de detección, como el uso de antibots y directorios dinámicos.
«Los operadores de phishing crean carpetas aleatorias de sitios web a las que solo puede acceder el destinatario de una URL de phishing personalizada y no se puede acceder sin el enlace inicial», dijo la empresa con sede en Singapur. dicho.
«Esta técnica permite a los phishers evadir la detección y la lista negra, ya que el contenido de phishing no se revelará».
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
De acuerdo a un nuevo reporte de Perception Point, la cantidad de intentos de ataques de phishing avanzados por parte de los actores de amenazas en 2022 aumentó un 356 %. El número total de ataques aumentó un 87 % en el transcurso del año.
Esta evolución continua de los esquemas de phishing se ejemplifica con una nueva ola de ataques que se han observado aprovechando cuentas comprometidas de Microsoft 365 y mensajes de permisos restringidos (.rpmsg) correos electrónicos encriptados para recopilar las credenciales de los usuarios.
«El uso de mensajes .rpmsg encriptados significa que el contenido de phishing del mensaje, incluidos los enlaces URL, se oculta de las puertas de enlace de escaneo de correo electrónico», los investigadores de Trustwave Phil Hay y Rodel Mendrez. explicado.
Otro caso destacado por Proofpoint implica el posible abuso de funciones legítimas en Microsoft Teams para facilitar el phishing y la entrega de malware, incluida la utilización de invitaciones a reuniones posteriores al compromiso al reemplazar las URL predeterminadas con enlaces maliciosos a través de llamadas API.
«Un enfoque diferente que los atacantes pueden utilizar, dado el acceso al token de Teams de un usuario, es usar la API o la interfaz de usuario de Teams para armar los enlaces existentes en los mensajes enviados», señaló la empresa de seguridad empresarial.
«Esto podría hacerse simplemente reemplazando los enlaces benignos con enlaces que apuntan a sitios web nefastos o recursos maliciosos».