Teknik phising baru pengelabuan eksploitasi TLD dapat memanfaatkan eksploitasi “pengarsipan file di browser” untuk meniru aplikasi pengarsipan di browser web saat korban mengunjungi domain .zip.
Pelaku pada dasarnya mensimulasikan aplikasi pengarsipan file seperti WinRAR di browser dan menyembunyikannya di bawah domain .zip untuk melakukan serangan phising.
Untuk dapat melakukan serangan ini terlebih dahulu mengharuskan pelakunya meniru perangkat lunak pengarsipan file menggunakan HTML/CSS.
Teknik Diidentifikasi setelah TLD Baru Google
Teknik pengelabuan eksploitasi TLD terungkap setelah Google merilis delapan domain tingkat atas (TLD) baru, termasuk .mov dan .zip.
Banyak anggota komunitas keamanan mulai menyampaikan kekhawatiran bahwa TLD baru dapat disalahartikan sebagai ekstensi file, khususnya .mov dan .zip.
Alasan di balik ini adalah bahwa .zip dan .mov adalah ekstensi file yang valid, yang dapat menimbulkan kebingungan di antara pengguna awam.
Mereka mungkin secara keliru mengunjungi situs web jahat alih-alih membuka file, secara tidak sengaja mengunduh malware dalam prosesnya.
Kebingungan antara nama domain dan nama file memiliki reaksi beragam dalam hal risiko yang ditimbulkannya, tetapi hampir semua orang setuju bahwa hal itu dapat diharapkan untuk memperlengkapi aktor jahat dalam kapasitas tertentu untuk menyebarkan vektor phising lainnya.
TLD yang baru diluncurkan memberi penyerang lebih banyak peluang untuk phising. Sangat disarankan bagi perusahaan untuk memblokir domain .zip dan .mov karena domain tersebut telah digunakan untuk phising dan kemungkinan akan terus semakin banyak digunakan.
Peretasan dan Kasus Penggunaan
Peneliti keamanan mengidentifikasi keuntungan menggunakan simulasi .zip untuk phisher karena menyediakan beberapa “fitur kosmetik” untuk mereka.
WinRaR, misalnya, memiliki ikon “pindai” untuk memberikan keabsahan file. Ini juga dilengkapi tombol “ekstrak ke” yang dapat digunakan untuk memasukkan muatan.
Selain itu, setelah konten simulasi disiapkan di domain .zip penjahat, mereka memiliki beberapa kemungkinan untuk mengelabui pengguna.
Salah satu contoh kasus penggunaan yang ditunjukkan adalah mengambil kredensial dengan membuka halaman web baru saat file diklik.
Pengalihan ini dapat mengarah ke halaman phising yang memiliki alat yang diperlukan untuk mencuri kredensial sensitif.
Kasus penggunaan lain yang didemonstrasikan adalah mencantumkan file yang tidak dapat dieksekusi dan ketika pengguna mengklik untuk memulai pengunduhan, itu mengunduh file yang dapat dieksekusi. Misalnya, file “invoice.pdf”, saat diklik, dapat memulai pengunduhan .exe atau file lainnya.
Di Twitter, sejumlah individu juga menyoroti bahwa bilah pencarian di Windows File Explorer dapat berfungsi sebagai cara yang efektif untuk mengirimkan konten berbahaya.
Dalam skenario ini, ketika pengguna mencari file .zip yang tidak ada di mesin mereka, seperti yang diarahkan oleh email phising, hasil bilah pencarian akan secara otomatis menampilkan dan membuka domain .zip berbasis browser berbahaya.
Baca lainnya:
- Dominasi Business Email Compromise
- Investigasi Serangan Phising
- Layanan Phising Crypto Tipu Ribuan Korban
- Phising Layanan Microsoft 365
- Phising Masalah Siber Terbesar
- Qbot Menyebar Melalui Phising
- Phising QRIS
Sumber berita: