Un nouveau kit de phishing « File Archivers in the Browser » abuse des domaines ZIP en affichant de fausses fenêtres WinRAR ou Windows File Explorer dans le navigateur pour convaincre les utilisateurs de lancer des fichiers malveillants.
Plus tôt ce mois-ci, Google a commencé à offrir la possibilité d’enregistrer des domaines TLD ZIP, tels que breachtrace.zip, pour héberger des sites Web ou des adresses e-mail.
Depuis la sortie du TLD, il y a eu pas mal de débats pour savoir s’il s’agissait d’une erreur et s’il pouvait poser un risque de cybersécurité pour les utilisateurs.
Alors que certains experts pensent que les craintes sont exagérées, la principale préoccupation est que certains sites transforment automatiquement une chaîne se terminant par « .zip », comme setup.zip, en un lien cliquable qui pourrait être utilisé pour la diffusion de logiciels malveillants ou d’attaques de phishing.
Par exemple, si vous envoyez à quelqu’un des instructions sur le téléchargement d’un fichier appelé setup.zip, Twitter transformera automatiquement setup.zip en lien, faisant croire aux gens qu’ils devraient cliquer dessus pour télécharger le fichier.
Lorsque vous cliquez sur ce lien, votre navigateur tente d’ouvrir le site https://setup.zip, qui peut vous rediriger vers un autre site, afficher une page HTML ou vous inviter à télécharger un fichier.
Cependant, comme pour toutes les campagnes de diffusion de logiciels malveillants ou de phishing, vous devez d’abord convaincre un utilisateur d’ouvrir un fichier, ce qui peut être difficile.
Un archiveur de fichiers dans le navigateur
Le chercheur en sécurité mr.d0x a développé une boîte à outils de phishing intelligente qui vous permet de créer de fausses instances WinRar dans le navigateur et des fenêtres de l’Explorateur de fichiers qui sont affichées sur les domaines ZIP pour faire croire aux utilisateurs qu’ils sont ouverts.
« Avec cette attaque de phishing, vous simulez un logiciel d’archivage de fichiers (par exemple WinRAR) dans le navigateur et utilisez un domaine .zip pour le rendre plus légitime », explique un nouveau billet de blog du chercheur.
Dans une démonstration partagée avec Breachtrace, la boîte à outils peut être utilisée pour intégrer une fausse fenêtre WinRar directement dans le navigateur lorsqu’un domaine .zip est ouvert, donnant l’impression que l’utilisateur a ouvert une archive ZIP et voit maintenant les fichiers qu’elle contient.
Bien qu’il soit beau lorsqu’il est affiché dans le navigateur, il brille comme une fenêtre contextuelle, car vous pouvez supprimer la barre d’adresse et la barre de défilement, laissant ce qui semble être une fenêtre WinRar affichée à l’écran, comme indiqué ci-dessous.
Pour rendre la fausse fenêtre WinRar encore plus convaincante, les chercheurs ont mis en place un faux bouton d’analyse de sécurité qui, lorsqu’il est cliqué, indique que les fichiers ont été analysés et qu’aucune menace n’a été détectée.
Bien que la boîte à outils affiche toujours la barre d’adresse du navigateur, il est toujours probable que certains utilisateurs pensent qu’il s’agit d’une archive WinRar légitime. De plus, des CSS et HTML créatifs pourraient probablement être utilisés pour affiner davantage la boîte à outils.
mr.d0x a également créé une autre variante qui affiche un faux explorateur de fichiers Windows dans le navigateur prétendant ouvrir un fichier ZIP. Ce modèle est plus un travail en cours, il manque donc certains éléments.
Abus de la boîte à outils de phishing
mr.d0x explique que cette boîte à outils de phishing peut être utilisée à la fois pour le vol d’informations d’identification et la diffusion de logiciels malveillants.
Par exemple, si un utilisateur double-clique sur un PDF dans la fausse fenêtre WinRar, il pourrait rediriger le visiteur vers une autre page demandant ses identifiants de connexion pour afficher correctement le fichier.
La boîte à outils peut également être utilisée pour diffuser des logiciels malveillants en affichant un fichier PDF qui télécharge un fichier .exe portant le même nom à la place lorsqu’on clique dessus. Par exemple, la fausse fenêtre d’archivage peut afficher un fichier document.pdf, mais lorsque vous cliquez dessus, le navigateur télécharge document.pdf.exe.
Comme Windows n’affiche pas les extensions de fichier par défaut, l’utilisateur verra simplement un fichier PDF dans son dossier de téléchargements et double-cliquera éventuellement dessus, sans se rendre compte qu’il s’agit d’un exécutable.
La façon dont Windows recherche les fichiers et, lorsqu’ils ne sont pas trouvés, tente d’ouvrir la chaîne recherchée dans un navigateur est particulièrement intéressante. Si cette chaîne est un domaine légitime, le site Web sera ouvert. sinon, il affichera les résultats de recherche de Bing.
Si quelqu’un enregistre un domaine zip identique à un nom de fichier commun et que quelqu’un effectue une recherche dans Windows, le système d’exploitation ouvrira automatiquement le site dans le navigateur.
Si ce site hébergeait le kit de phishing « File Archivers in the Browser », cela pourrait faire croire à un utilisateur que WinRar affichait une véritable archive ZIP.
Cette technique illustre comment les domaines ZIP peuvent être abusés pour créer des attaques de phishing intelligentes et la livraison de logiciels malveillants ou le vol d’informations d’identification.
mr.d0x est connu pour ses précédentes boîtes à outils de phishing intelligentes, telles que l’utilisation de VNC pour le phishing afin de contourner MFA et la technique Browser-in-the-Browser. Les acteurs de la menace ont utilisé ce dernier pour voler les informations d’identification Steam.