Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Neue Top-Level-Domain .zip lädt zu Phishing-Attacken ein

Ein Sicherheitsforscher hat demonstriert, wie Angreifer die neue .zip-Domain für Phishing-Attacken nutzen können, etwa um Trojaner auf Systemen einzuschleusen.

In Pocket speichern vorlesen Druckansicht 4 Kommentare lesen
Creative,Code,Skull,Hologram,On,Modern,Computer,Background,,Cybercrime,And

(Bild: Pixels Hunter/Shutterstock.com)

Lesezeit: 2 Min.
c't Magazin
Von
  • Kathrin Stoll

Mitte Mai hat Google mehrere neue Top-Level-Domains freigegeben, darunter .zip, .dad, .phd und .mov. Unter IT-Sicherheitsexperten wurden Bedenken laut, dass die neuen Top-Level-Domains mit Dateiendungen verwechselt werden könnten und so eine weitere Phishing-Gefahr darstellten.

In diesem Nachbau der Bedienoberfläche des Packprogramms WinRAR im Browser hat der Entwickler auch Funktionen wie den Scan-Button gefälscht, um die Imitation echt wirken zu lassen.

(Bild: Https://mrd0x.com/file-archiver-in-the-browser/)

Ein Sicherheitsforscher, der über das Twitter-Handle @mrd0x bekannt ist, hat aufgezeigt, wie Angreifer die neue Top-Level-Domain .zip – gleichnamig zur Dateiendung von Zip-Archiven – für Phishing-Attacken nutzen können. Bei seiner Phishing-Attacke hat er das Packprogramm WinRAR und den Dateiexplorer von Windows 11 mittels HTML und CSS als Website nachgebaut.

Um die Fälschungen glaubhaft wirken zu lassen, hat er seine Imitationen mit weiteren Funktionen ausgestattet; etwa bestätigt das Scan-Icon in seiner WinRAR-Imitation beim Klicken, dass die Dateien im vermeintlichen .zip-Archiv sicher seien. Opfer können um Beispiel über eine Phishing-Mail dazu gebracht werden, die .zip-Domain, hinter der sich die Angreiferwebsite verbirgt, anzusteuern. Ein weiterer Klick auf die scheinbar entpackte Datei könnte dann auf eine Phishing-Seite führen, die das Opfer auffordert, Zugangsdaten einzugeben.

In einem anderen Szenario startet der Klick auf eine anscheinend nicht ausführbare Datei (etwa .pdf) den Download einer ausführbaren .exe-Datei, die ein Trojaner sein könnte. Damit wäre das Opfersystem infiziert.

Problematisch ist auch der Umgang des Windows-Dateiexplorers mit der neuen .zip-Domain. Sucht ein Nutzer in der Suchleiste des Explorers nach einer .zip-Datei und sie befindet sich nicht auf dem Gerät, öffnet das System automatisch den Dateinamen als Website im Browser. Für das beschriebene Angriffsszenario wäre das perfekt, schließlich bekäme der arglose Nutzer mit den Imitationen von WinRAR und Datei-Explorer genau das zu sehen, was er beim Klick auf eine .zip-Datei erwartet. Der Angreifer könnte sein Opfer auffordern, eine bestimmte Zip-Datei auf diese Weise zu öffnen, die sich dem Anschein nach bereits auf dem System befindet.

Die Demonstration des Sicherheitsforschers zeigt, dass die neue Top-Level-Domain Angreifern neue Phishing-Möglichkeiten bietet. Admins empfiehlt er, die Top-Level-Domain .zip vorerst global zu blockieren.

c’t – Europas größtes IT- und Tech-Magazin

Alle 14 Tage präsentiert Ihnen Deutschlands größte IT-Redaktion aktuelle Tipps, kritische Berichte, aufwendige Tests und tiefgehende Reportagen zu IT-Sicherheit & Datenschutz, Hardware, Software- und App-Entwicklungen, Smart Home und vielem mehr. Unabhängiger Journalismus ist bei c't das A und O.

(kst)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten