In evidenza
Sezioni
Magazine
Annunci
Quotidiani GNN
Comuni
      1. Aiello del Friuli
      2. Amaro
      3. Ampezzo
      4. Andreis
      5. Aquileia
      6. Arba
      7. Arta Terme
      8. Artegna
      9. Arzene
      10. Attimis
      11. Aviano
      12. Azzano Decimo
      1. Bagnaria d'Arsa
      2. Barcis
      3. Basiliano
      4. Bertiolo
      5. Bicinicco
      6. Bordano
      7. Brugnera
      8. Budoia
      9. Buia
      10. Buttrio
      1. Camino al Tagliamento
      2. Campoformido
      3. Campolongo al Torre
      4. Caneva
      5. Carlino
      6. Casarsa della Delizia
      7. Cassacco
      8. Castelnovo del Friuli
      9. Castions di Strada
      10. Cavasso Nuovo
      11. Cavazzo Carnico
      12. Cercivento
      13. Cervignano del Friuli
      14. Chions
      15. Chiopris-Viscone
      16. Chiusaforte
      17. Cimolais
      18. Cividale del Friuli
      19. Claut
      20. Clauzetto
      21. Codroipo
      22. Colloredo di Monte Albano
      23. Comeglians
      24. Cordenons
      25. Cordovado
      26. Corno di Rosazzo
      27. Coseano
      1. Dignano
      2. Dogna
      3. Drenchia
      4. Enemonzo
      5. Erto e Casso
      1. Faedis
      2. Fagagna
      3. Fanna
      4. Fiume Veneto
      5. Fiumicello
      6. Flaibano
      7. Fontanafredda
      8. Forgaria nel Friuli
      9. Forni Avoltri
      10. Forni di Sopra
      11. Forni di Sotto
      12. Frisanco
      1. Gemona del Friuli
      2. Gonars
      3. Grimacco
      1. Latisana
      2. Lauco
      3. Lestizza
      4. Lignano Sabbiadoro
      5. Ligosullo
      6. Lusevera
      1. Magnano in Riviera
      2. Majano
      3. Malborghetto Valbruna
      4. Maniago
      5. Manzano
      6. Marano Lagunare
      7. Martignacco
      8. Meduno
      9. Mereto di Tomba
      10. Moggio Udinese
      11. Moimacco
      12. Montenars
      13. Montereale Valcellina
      14. Morsano al Tagliamento
      15. Mortegliano
      16. Moruzzo
      17. Muzzana del Turgnano
      1. Nimis
      1. Osoppo
      2. Ovaro
      1. Pagnacco
      2. Palazzolo dello Stella
      3. Palmanova
      4. Paluzza
      5. Pasian di Prato
      6. Pasiano di Pordenone
      7. Paularo
      8. Pavia di Udine
      9. Pinzano al Tagliamento
      10. Pocenia
      11. Polcenigo
      12. Pontebba
      13. Porcia
      14. Pordenone
      15. Porpetto
      16. Povoletto
      17. Pozzuolo del Friuli
      18. Pradamano
      19. Prata di Pordenone
      20. Prato Carnico
      21. Pravisdomini
      22. Precenicco
      23. Premariacco
      24. Preone
      25. Prepotto
      26. Pulfero
      1. Ragogna
      2. Ravascletto
      3. Raveo
      4. Reana del Rojale
      5. Remanzacco
      6. Resia
      7. Resiutta
      8. Rigolato
      9. Rive d'Arcano
      10. Rivignano
      11. Ronchis
      12. Roveredo in Piano
      13. Ruda
      1. Sacile
      2. San Daniele del Friuli
      3. San Giorgio della Richinvelda
      4. San Giorgio di Nogaro
      5. San Giovanni al Natisone
      6. San Leonardo
      7. San Martino al Tagliamento
      8. San Pietro al Natisone
      9. San Quirino
      10. San Vito al Tagliamento
      11. San Vito al Torre
      12. San Vito di Fagagna
      13. Santa Maria La Longa
      14. Sauris
      15. Savogna
      16. Sedegliano
      17. Sequals
      18. Sesto al Reghena
      19. Socchieve
      20. Spilimbergo
      21. Stregna
      22. Sutrio
      1. Taipana
      2. Talmassons
      3. Tapogliano
      4. Tarcento
      5. Tarvisio
      6. Tavagnacco
      7. Teor
      8. Terzo d'Aquileia
      9. Tolmezzo
      10. Torreano
      11. Torviscosa
      12. Tramonti di Sopra
      13. Tramonti di Sotto
      14. Trasaghis
      15. Travesio
      16. Treppo Carnico
      17. Treppo Grande
      18. Tricesimo
      19. Trivignano Udinese
      1. Udine
      1. Vajont
      2. Valvasone
      3. Varmo
      4. Venzone
      5. Verzegnis
      6. Villa Santina
      7. Villa Vicentina
      8. Visco
      9. Vito d'Asio
      10. Vivaro
      1. Zoppola
      2. Zuglio
Sicuri nella Rete

Il nuovo phishing che sfrutta i domini .zip e .mov

di Pierluigi Paganini
Il nuovo phishing che sfrutta i domini .zip e .mov
Una nuova tecnica di attacco, battezzata "file archiver in the browser," che potrebbe presto essere sfruttata in campagne di phishing su larga scala
2 minuti di lettura

In maggio, Google ha lanciato otto nuovi domini di primo livello (TLD) tra cui .zip e .mov e come sempre accade i criminali informatici si sono posti il problema di come sfruttare i nuovi domini per attività fraudolente.

D'altro canto, anche gli esperti di sicurezza si interrogano sui possibili abusi dei nuovi domini ed un ricercatore noto con lo pseudonimo di "mr.d0x" ha descritto una nuova tecnica di attacco, battezzata "file archiver in the browser," che potrebbe presto essere sfruttata in campagne di phishing su larga scala.

La nuova tecnica è ingegnosa quanto semplice, il nome ci suggerisce che l'attaccante costruisce una pagina web che riproduce l'interfaccia di software popolari per la gestione di archivi .ZIP come WinZIP o WinRAR.

Allo scopo un attaccante utilizza la classica modalità di sviluppo di una pagina web il cui aspetto è definito attraverso codice HTML e fogli di stile CSS che determinano l'aspetto finale della pagina. L'esperto mr.d0x ha sviluppato a titolo di esempio due pagine che riproducono nell'aspetto il software WinRAR e la finestra Esplora file di Windows 11, ovvero software che quotidianamente utilizziamo quando ci arriva un archivio .ZIP.

L'aspetto finale è quello visibile nell'immagine seguente, con la differenza che la pagina è visibile all'interno del browser e non è la classica applicazione che eseguiamo in locale dal nostro PC.

 

Noterete poi una funzione dell'interfaccia grafica introdotta per ingannare gli utenti, ovvero la presenza di un'icona "Scansione" all'interno della barra dei comandi ricreata nella pagina che emula il software WinRAR. Questo pulsante non è presente nel software originale, tuttavia gli ignari utenti cliccando il pulsante visualizzeranno una finestra con un messaggio che li rassicura informandoli che non sono stati rilevati malware a seguito della scansione.

A questo punto il gioco è fatto, la pagina riproducente il software per la gestione degli archivi è pubblicata dagli attaccanti su uno dei nuovi dominio .zip disponibili.

Immaginiamo quindi di voler colpire un'azienda ed inviare ai suoi dipendenti una mail che li informa della possibilità di fruire di benefici fiscali. All'interno del corpo della mail è possibile inserire un link che punta ad un dominio .zip spacciandolo per l'archivio contenente la modulistica e le istruzioni per la richiesta delle agevolazioni.

Cliccando sul link si aprirebbe la pagina creata ad hoc su un dominio .zip che riproduce un elenco di presunti file presenti nell'archivio.

Quando gli utenti cliccano su uno di questi file in realtà cliccano su un collegamento ipertestuale che potrebbe indirizzarli ad una pagina di phishing che chiede loro di fornire le credenziali per visualizzare i documenti o peggio di scaricare un software per la visualizzazione corretta dei documenti.

In quest'ultimo caso è possibile ingannare i visitatori presentando un file eseguibile con un'estensione mascherata. Gli utenti fanno clic su quello che sembra essere un file .pdf (ad esempio, "invoice.pdf"), mentre in realtà viene scaricato un file eseguibile, come visibile nella immagine successiva.

Esiste un ulteriore modalità di attacco potrebbe servirsi della barra di ricerca di Esplora file di Windows come vettore iniziale di attacco.

Immaginiamo che l'utente cerchi nella barra di ricerca l'archivio "DetrazioniNOMEAZIENDA.zip". A questo punto non trovandosi sul PC della vittima alcun archivio con quel nome verrà aperto nel browser il dominio "DetrazioniNOMEAZIENDA.zip" che era stato preventivamente registrato dall'attaccante e preparato per condurre attacchi di phishing o distribuire malware.

"Diverse persone hanno sottolineato su Twitter che la barra di ricerca di Esplora file di Windows è un buon vettore di attacco. Se l'utente cerca l'archivio mrd0x.zip e non esiste sulla macchina, lo aprirà automaticamente nel browser. Questo è perfetto per questo scenario poiché l'utente si aspetterebbe di vedere un archivio ZIP riprodotto graficamente mediante la tecnica descritta." si legge nell'analisi pubblicata da mr.d0x.

I domini TLD messi a disposizione di recente offrono agli attaccanti maggiori opportunità per le campagne di phishing. La conoscenza di questa tecnica di attacco è essenziale per evitare di cadere vittima di criminali intenti a sfruttarla su larga scala.

"Si consiglia vivamente alle organizzazioni di bloccare i domini .zip e .mov poiché sono già utilizzati per il phishing e probabilmente continueranno a essere utilizzati sempre di più". conclude l'esperto.

Leggi anche

© Riproduzione riservata