Desde principios de abril Google ha comenzado a ofrecer la posibilidad de registrar dominios .zip (ZIP TLD) para alojar páginas web o direcciones de correo electrónico.
Este movimiento ha sido cuestionado por muchos por si es un error y su existencia puede representar un riesgo para la seguridad de los usuarios.
Aunque ciertos expertos no lo creen y opinan que los temores son exagerados, la principal preocupación es que algunos sitios conviertan automáticamente una cadena que termina en .zip, como setup.zip, en un enlace clicable que pueda usarse para entregar malware o ataques de phishing.
La propia plataforma de Twitter puede convertir esta estructura en un link de manera automática, por poner un ejemplo.
Lo cierto es que los actores de amenazas pueden aprovecharse de esta novedad fácilmente para sus fines. La web Bleeping Computer alerta de la existencia de un nuevo kit de phishing que abusa de los dominios ZIP mostrando ventanas falsas de WinRAR o Windows File Explorer en el navegador para convencer a los usuarios de que ejecuten archivos maliciosos.
Así funciona
El kit de herramientas, desarrollado por el investigador de seguridad mr.dox, se puede usar para incrustar una ventana WinRar falsa directamente en el navegador cuando se abre un dominio .zip, lo que hace que parezca que el usuario abrió un archivo ZIP y ahora está viendo los archivos que contiene.
El navegador brilla como una ventana emergente o pop up, ya que puede eliminar la barra de direcciones y la barra de desplazamiento, dejando lo que parece ser una ventana de WinRar.
Para hacer que esta ventana de WinRar falsa resulte aún más convincente, los investigadores implementaron un botón Escanear de seguridad falso que, cuando se hace clic, dice que los archivos fueron escaneados y no se detectaron amenazas.
mr.d0x también creó otra variante que muestra un explorador de archivos de Windows falso en el navegador que finge abrir un archivo ZIP.
El investigador aclara que este kit de herramientas de phishing puede usarse tanto para el robo de credenciales como para la entrega de malware.