Sicherheitsforscher warnt vor Missbrauch der neuen Domain-Endung .zip
Seit Mai sind ein paar neue Top-Level-Domains verfügbar, darunter auch .zip. Doch Cyberkriminelle könnten diese Domain-Endung zum Verteilen von Malware missbrauchen. Ein Cybersecurity-Forscher erklärt, wie sie dabei vorgehen könnten.
Die Auswahl an so genannten Top-Level-Domains (TLDs) wird immer grösser. Seit Mai 2023 können neu beispielsweise Domains mit Endungen wie .prof, .phd, .dad oder .foo registriert werden, wie einer Mitteilung von Google zu entnehmen ist. In der Cybersecurity-Branche sorgt jedoch eine neue TLD für besonders viel Gesprächsstoff: .zip, benannt nach dem sehr populären Dateiformat. Dank dieser Domain-Endung würde beispielsweise die Zeichenkette "Swisscybersecurity.zip" zu einer korrekten Web-Adresse. Und tatsächlich scheinen einige Dienste, wie beispielsweise die Messenger-Funktion in Twitter, aus solchen Zeichenketten automatisch anklickbare URLs zu machen, wie "Bleeping computer" bemerkt. Der im Bericht erwähnte Cybersecurity-Forscher, der sich Mr.D0x nennt, weist ausserdem darauf hin, dass der zu Windows-Systemen gehörende File Explorer automatisch einen Web-Browser öffnet, wenn er einen dort eingegebenen Dateinamen mit der Endung .zip nicht lokal finden kann.
Cyberkriminelle könnten dies künftig für ihre üblen Machenschaften ausnutzen. Wie sie dabei vorgehen könnten, schildert Mr.D0x auf seinem Blog: Er zeigt, wie sich in einem Web-Browser die Programmfenster von File Explorer oder Archivierungstools wie Winrar nachbauen lassen – also jene Fenster, die man auch zu Gesicht bekäme, wenn man eine legitime .zip-Datei anklicken würde. Dabei sind die Browserfenster so manipuliert, dass die zum Web-Browser gehörenden Symbole und Menüs ausgeblendet werden.
In diesen gefakten Programmfenstern könnten Angreifer etwa eine als PDF getarnte Programmdatei zum Download anbieten und so ihre ihrem Opfer Malware unterjubeln. Besonders dreist: In der Demo seines emulierten Winrar-Fensters behauptet ein Sicherheits-Symbol, die vermeintliche PDF-Datei sei gescannt und als virenfrei befunden worden. Anstatt einen Download zu starten, könnte laut dem Sicherheitsforscher auch eine Login-Seite angezeigt und damit klassisches Phishing betrieben werden.
Wie man Opfer in eine solche Falle locken könnte, beschreibt Mr.D0x nicht. Einem Angreifer müsste es im Rahmen einer Spear-Phishing-Attacke gelingen, seinem Opfer einen Link auf eine präparierte .zip-Seite zu schicken. Angreifer könnten aber auch auf gut Glück .zip-Domains mit mutmasslich passenden Namen (rechnung.zip, setup.zip o.ä.) registrieren und vorbereiten. Der Security-Forscher empfiehlt Systemadministratoren, sämtliche .zip-Domains in der Unternehmens-Firewall zu blockieren, um vor solchen Angriffen zu schützen.
New Work und hybride Arbeitsmodelle bringen einige Cybergefahren mit sich. Das NCSC gab unlängst Tipps für das sichere Arbeiten von zuhause oder unterwegs. Diese lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Betrüger ziehen Tutti-Nutzerin 2500 Franken aus der Tasche
Phishing-Betrüger täuschen Opfer mit vermeintlich gesperrter Apple-ID
Latrodectus - der jüngste Schädling der IcedID-Entwickler
SBB bündeln Cybersecurity und andere Sicherheitsbereiche
EU-Datenschützer beurteilen Bezahlzwang für Datenschutz als inakzeptabel
EDÖB kritisiert Digitec Galaxus
Firewalls von Palo Alto enthalten eine kritische Sicherheitslücke
Der Astrologe rettet den Tag ... oder auch nicht
Cisco warnt vor Schwachstellen in Serversoftware und Angriffen auf VPN-Dienste
