Security Week 2322: практический пример атаки с использованием домена .zip

Security Week 2322: практический пример атаки с использованием домена .zip
В середине мая открылась свободная регистрация имен в доменных зонах .ZIP и .MOV. Эти TLD вошли в список из сотен коммерческих доменных зон, обслуживанием которых занимаются частные компании. В данном случае регистратор, обслуживающий эти два TLD, принадлежит Google. От всех остальных доменов верхнего уровня эти два отличаются тем, что соответствующие URL крайне трудно отличить от имен файлов с таким же разрешением. Среди специалистов по безопасности это сразу же вызвало опасения : кликабельные ссылки в мессенджерах и соцсетях, похожие на имена файлов, теоретически должны упростить кибератаки.


Как подобная атака может выглядеть на практике, на прошлой неделе показал исследователь, известный под ником mrd0x. Он зарегистрировал доменное имя mrd0x.zip , на котором детально воспроизвел интерфейс архиватора WinRAR.

Очевидный сценарий атаки следующий: злоумышленник регистрирует домен (или несколько доменов), похожий на имя файла. Ссылки на них рассылает жертвам через мессенджеры, вставляет на мусорные веб-сайты в Сети, массово отправляет по почте. По клику на ссылку пользователь видит вроде бы обычное окно архиватора, где можно якобы «распаковать» какие-то файлы. mrd0x также продемонстрировал некоторые «улучшения пользовательского опыта», например, добавил сообщение о том, что файлы якобы просканированы на наличие угроз:


Не обязательно эмулировать в браузере WinRAR, можно воспроизвести еще более привычное окно проводника Windows:


По клику на файл или на кнопку «Extract to» в «архиваторе» будет скачиваться файл, открыть который потенциальная жертва должна без всяких сомнений, — он же «проверен» или вообще выглядит так, будто запускается локально. Но есть и другие варианты, когда жертву перенаправляют на фишинговую страницу, например, облачного сервиса, где просят ввести логин и пароль от своей учетной записи. Понятно, что подобная атака будет работать с людьми, которые с трудом отличают настоящую программу от браузера. Но таких людей не так уж мало. В скриншотах выше показан идеальный вид псевдоархиватора, а если развернуть окно браузера на весь экран, то интерфейс также растягивается и выглядит уже подозрительно.

Вроде бы подобная атака мало чем отличается от любой другой с использованием какого угодно домена. За одним исключением: ссылки, похожие на имена файлов, будут активными. Например, Twitter уже автоматически делает mrd0x.zip активной ссылкой, равно как и мессенджер Telegram. На вредоносные домены в зонах .zip и .mov будет чуть проще попасть, а значит, успешных взломов станет на несколько процентов больше. Самую интересную проблему mrd0x показал на примере проводника Windows (настоящего). Если ввести в проводнике имя файла, которого в открытой папке нет, Windows попытается открыть сайт с идентичным URL в браузере.


Желание Google заработать на доменных именах пару лишних долларов понятно, но такое вторжение в отработанное десятилетиями разделение между «вебом» и «файлами» вряд ли можно назвать хорошей идеей.

Что еще произошло:

Опубликовано подробное исследование о голосовых атаках, в которых команда передается на крайне высоких частотах (от 16 килогерц и выше). Об этой работе мы писали в марте, когда только появились примеры атак. Микрофоны современных устройств без проблем распознают голосовые команды, передаваемые по верхней границе звукового диапазона частот, в то время как владельцы смартфонов и умных колонок такие команды почти наверняка не слышат. В полном тексте исследования приведено множество новых подробностей, например, об эффективности атаки с использованием разных методов сжатия аудио или о практическом расстоянии от атакующего устройства до атакуемого. Предложено также и очевидное средство борьбы с такими атаками: на принимающем устройстве можно просто фильтровать звук выше определенной частоты. На реальных голосовых командах это никак не скажется, а попытки скрытно что-то приказать домашнему устройству гарантированно нейтрализует.

В свежем исследовании компании ESET подробно описана вредоносная функциональность Android-приложения. Апп для записи видео с экрана первоначально не имел никаких вредоносных довесков, но в какой-то момент вместе с обычным апдейтом прилетел бэкдор. Он позволял отслеживать координаты жертвы, записывать звук с микрофона и загружать на командный сервер произвольные файлы.

Компания Zyxel закрыла две критические уязвимости в аппаратных брандмауэрах и VPN-устройствах.
zip mov tld
Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!