Apenas unas semanas después del lanzamiento de los dominios terminados en ZIP y otros similares a formatos conocidos, ya circula entre los ciberdelincuentes un kit que simula ventanas WinRAR y Windows para realizar ataques. El formato da lugar a estafas que pueden implicar robo de credenciales o contaminación por virus.
El kit de phishing, llamado File Archivers in the Browser, hace exactamente lo que dice el nombre. El cebo para el clic es el hecho de que se crean enlaces en conversaciones de texto o sitios web que mencionan la extensión ZIP, lo que lleva a los usuarios a sitios web fraudulentos que simulan el proceso de descompresión de un archivo, pero en cualquier ventana del navegador.
El robo de datos o la instalación de virus puede ocurrir de diferentes maneras. El investigador de seguridad mr.d0x mostró cómo se puede usar un archivo PDF falso en la pantalla Falsa, dirigiendo al usuario a una página de inicio de sesión falsa o descargando instaladores que, cuando se ejecutan, hacen que la PC se infecte con malware.
Para aumentar la apariencia de legitimidad de la estafa, también se simulan ventanas de verificación de seguridad, lo que indica que los Archivos disponibles en la página falsa han pasado las pruebas de verificación de amenazas. Según el especialista, aunque la pantalla de WinRAR es muy similar a la legítima, el ataque que involucra al Explorador de Windows aún es rudimentario, sin elementos importantes que puedan llevar a la detección.
Sin mencionar, por supuesto, el hecho de que una URL siempre está a la vista y la idea de que el proceso de descompresión de archivos simplemente no ocurre en un navegador. Aun así, la idea merece una advertencia tanto porque representa una nueva explotación en curso, dada la carrera de los ciberdelincuentes por registrar dominios fraudulentos vinculados a las nuevas extensiones, como porque el objetivo preferente son los usuarios sin muchos conocimientos técnicos.
Como una forma de evitar esto, mr.d0x también muestra un exploit que ocurriría desde el propio Explorador de Windows. Con un correo electrónico simulando un contacto profesional, por ejemplo, el atacante podría pedir al usuario que use el buscador del Sistema Operativo o la barra de direcciones de las carpetas para buscar el dominio malicioso; el sistema, al no encontrar los datos localmente, abriría el peligroso sitio web creado por los delincuentes.
Cuidado con los sitios falsos que simulan WinRAR
Los expertos se dividen entre la alerta de riesgo y la banalidad de los dominios en ZIP, MOV y otros formatos, pero las recomendaciones básicas de seguridad se mantienen. Los usuarios no deben hacer clic en los enlaces que llegan por mensaje de texto o correo electrónico, especialmente si hacen referencia a archivos o aplicaciones conocidas.
Cuidado con los mensajes falsos en nombre de empresas, tiendas o incluso contactos profesionales, evitando el acceso a webs falsas. Al acceder a un dominio, asegúrate de que estás ante una página legítima y segura: comprueba la dirección en la barra e interrumpe el acceso si detectas algún problema.
Sobre todo, es importante recordar que el proceso de descompresión de archivos no se realiza en el navegador, sino en el propio Windows, desde ventanas que no se abren desde enlaces. También vale la pena tener un software antivirus siempre activo en la computadora, ya que soluciones como esta ayudan a identificar páginas falsas o la descarga de archivos maliciosos.
Fuente: mr.d0x
Related Articles