Businesscentral.ZIP gibi bir TLD’nin, bir kullanıcı etki alanını her ziyaret ettiğinde file.exe adlı kötü amaçlı bir yürütülebilir dosyayı otomatik olarak indirdiği bulundu.
Kimlik avı saldırıları, tehdit aktörlerinin bu saldırıları başarılı kılmak için kullandıkları zekice maskeleme taktikleri nedeniyle siber güvenlik birliğini on yıldan uzun bir süredir rahatsız ediyor. 17 Temmuz 2023’te yayınlanan FortiGuard Labs Küresel Tehdit Görünümü Raporu 2022’de şirket, bir ağ ihlalinde ilk erişimi elde etmek için birincil saldırı yönteminin oltalamayı buldu.
.ZIP alanı ve Kimlik Avı Saldırıları
FortiGuard Labs araştırmacıları Jonas Walker ve Fred Gutierrez, .ZIP alan adının tehdit aktörlerinin kimlik avı silahlarına en son eklenen olduğunu keşfettiklerinden, tehdit aktörleri bu vektörü sürekli olarak geliştiriyor.
FortiGurad’ın Hackread.com ile paylaştığı rapora göre, .COM, .ORG veya .NET vb.
Zaman içinde, Z.cash, X.team veya Vacation.rentals gibi kuruluşlar ve kullanıcılar için özelleştirilmiş adresler sunan, jenerik TLD’ler veya gTLD’ler olarak adlandırılan yüzlerce yeni TLD ortaya çıktı. Bu jenerik TLD’ler, tehdit aktörlerinin istismar etmesi için yeni kapılar açtı ve yakın zamanda .ZIP alan adlarının kamu tarafından satın alınabilmesi, istismar kapsamını önemli ölçüde genişletti.
gTLD’lerin ortaya çıkışı, kimlik avı saldırılarının tespit edilmesini zaten zorlaştırdı. Şimdi, sıkıştırılmış dosyalar için yaygın olarak kullanılan bir dosya uzantısı olan .ZIP etki alanının eklenmesi, özellikle teknolojiden anlayan kullanıcılar arasında kafa karışıklığı yaratarak dosyayı daha karmaşık hale getirecek. Alan adı, sahtekarlık yapan bir siteye özgünlük katacağından, kimlik avcıları için etkili bir araç görevi görecektir.
Şüphelenmeyen bir kullanıcı, bunu bir dosya uzantısı olarak kabul eder ve tereddüt etmeden indirir. Böyle bir girişim, yakın zamanda birkaç kullanıcının 20 Mayıs’ta kaydedilen ve en son chatbot sürümünü vaat eden bir indirme bağlantısı sunan chatgptzip dosyasını bildirdiğinde tespit edildi. Ancak, ZIP arşivi şu mesajı içeriyordu:
Daha sonra, 15 Mayıs’ta kaydedilen atamazip adlı başka bir dosya bulundu ve bu dosya, ziyaretçileri temiz dosyalar içeren indirilebilir bir ZIP arşivine yönlendirdi. Başka bir durumda, araştırmacılar voorbeeldzip’in 20 Mayıs’ta kayıtlı olduğunu buldular, bu İngilizce’de örnek anlamına gelir.
Araştırmacılar, bu dosyaların henüz herhangi bir bilgi toplamadığını, ancak .ZIP uzantısının popülaritesinden yararlanmak için kötü amaçlı web sitelerinin oluşturulduğunu belirtti. Örneğin, 15 Mayıs’ta kaydedilen 42zip alan adı otomatik olarak bir zip dosyası indirdi ve klasik Zip Bomb saldırısını başlattı.
Excelpatchzip ve outlook365updatezip etki alanları da kötü amaçlı TLD’lere örnektir. Businesscentralzip etki alanı, file.exe adlı kötü amaçlı bir yürütülebilir dosyayı otomatik olarak indirdi. Diğer bazı kötü amaçlı alanlar şunları içerir:
- joomlazip
- msnbczip
- nozominenetworkszip
Güvende kalmak için FortiGuard Labs, kullanıcıları bir kapsamlı strateji olarak .ZIP alan adlarını güvenlik duvarı düzeyinde bloke etmeye ve bir web sitesinin gerçekliğini değerlendirmek için web filtreleri ve tarayıcı uzantıları kullanmaya ve özellikle istenmeyen bir kaynak tarafından paylaşıldığında tıklamadan önce URL’leri iki kez kontrol etmeye teşvik ediyor. Son olarak, en son güvenlik açıklarını yamalamak için virüsten koruma programlarını, işletim sistemlerini ve web tarayıcılarını her zaman güncelleyin.
ALAKALI HABERLER
- Google.com, ɢoogle.com değil
- Kiralık DDoS Hizmetlerine Bağlı Etki Alanları Ele Geçirildi
- FIFA Dünya Kupası Hayranlarını Hedefleyen 16.000+ Dolandırıcılık Alanı
- DoJ, Domuz Kasaplığı Kripto Dolandırıcılığında Kullanılan 7 Alan Adını Ele Geçirdi
- 42.000 kimlik avı alan adı, popüler marka kılığında bulundu
- Microsoft Azure tarafından barındırılan en iyi 240 alan, kötü amaçlı yazılım yaymak için saldırıya uğradı