Badacz bezpieczeństwa: nowe domeny najwyższego poziomu zip i mov od Google stwarzają ryzyko phishingu

Na początku miesiąca Google ogłosił kilka domen najwyższego poziomu dla „ojców, absolwentów i techników”. Wśród nowych domen technicznych były. zip i. mov, które również są bardzo popularnymi rozszerzeniami plików. Teraz badacz bezpieczeństwa Bobby Rauch alarmuje o tych domenach TLD, ostrzegając, że mogą one zostać wykorzystane do phishingu.

W swoim poście na blogu na Medium Rauch udostępnia dwa adresy URL i pyta czytelnika, czy może stwierdzić, który z nich jest prawidłowy, a który złośliwy, i może skierować użytkowników do złośliwego oprogramowania. Dwa linki są pokazane poniżej, nie martw się, żadne z nich nie wyśle ​​​​do złego, po prostu zobacz, czy możesz powiedzieć, który wskazuje na plik zip lub adres URL zip.

• https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271.zip
• https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip

Najechanie kursorem na pierwszy link spowoduje wyświetlenie paska u dołu przeglądarki, pokazującego, że link prowadzi do https://v1271.zip, więc wiemy, że jest to złośliwy link. Niestety, wiele osób o tym nie wie, może korzystać z urządzenia mobilnego lub być popędzanym przez złośliwego aktora, więc należyta staranność nie jest podejmowana.

Według Silent Push Labs (przez Bleeping Computer). zip i. Domeny mov są już powszechnie używane do kradzieży, między innymi, poświadczeń konta Microsoft.

W poście na blogu Rauch mówi czytelnikom, aby szukali domen używających fałszywych ukośników – U+2044 (⁄) i U+2215 (∕) – oraz operatorów @, po których następuje. pliki ZIP. Mówi również, że można uniknąć pobierania plików z adresów URL wysyłanych przez nieznane kontakty i najechać kursorem na adres URL przed kliknięciem go, aby zobaczyć rozwiniętą ścieżkę adresu URL.

Źródło: Bobby Rauch za pośrednictwem Bleeping Computer