.zip-атаки через домены

Шалом! Исследователи безопасности из FortiGuard Labs обнаружили, что анонимы обнаружили новый способ обмана юзеров— они регистрируют домены с расширением «.ZIP».

TLD-домены или «домены верхнего уровня» представляют из себя конечный сегмент доменного имени, такой как «.COM», «.ORG» или «.NET» и т. д. Со временем появились сотни так называемых «общих TLD» или «gTLD», которые предлагают индивидуальные адреса для организаций и пользователей, которые соответствуют их бренду, например «Z.cash», «X.team» или «Vacation.rentals».

Общие TLD открыли новые возможности для использования злоумышленниками, а доступность доменов «.ZIP» для покупки значительно расширила возможности использования. Появление gTLD уже затруднило обнаружение фишинговых атак. Теперь добавление домена «.ZIP» создаёт путаницу среди неопытных пользователей.

Например, домен «businesscentral[.]zip», который появился 15 мая, сразу же скачивал на компьютер посетителя вредоносный файл с названием «file.exe». Другой домен, «chatgpt[.]zip», который зарегистрировали 20 мая, предлагал скачать архив с последней версией чат-бота ChatGPT, но в архиве, разумеется, лежал вредоносный файл.

Фанни записка хакеров, поймавших свою жертву.

Ещё один домен, «assignment[.]zip», перенаправлял пользователей на пустые архивы, а домен «voorbeeld[.]zip» попросту не содержал какого-либо контента. Исследователи отмечают, что за этими доменами пока не зафиксировано вредоносной активности, однако они могут быть использованы для этого в будущем.

Один из реальных примеров угрозы — домен «42[.]zip», который тоже появился в Сети 15 мая. Он сразу же скачивает вредоносный файл, называемый «ZIP-бомба», ведущую к распаковке огромного массива данных, который занимает всё доступное пространство на компьютере жертвы.

Как защититься?

Чтобы защититься от таких атак, эксперты FortiGuard Labs советуют пользователям блокировать домены «.ZIP» на своих брандмауэрах, использовать веб-фильтры и браузерные расширения для проверки сайтов, а также всегда смотреть на URL-адреса перед тем, как на них переходить. Особенно если их отправил посторонний пользователь.

Также нужно регулярно обновлять антивирусное ПО, операционные системы, браузеры и прочий установленный софт, чтобы закрыть все потенциальные дыры в безопасности вашего компьютера.