Malware: So könnten Betrüger die neue Top-Level-Domain .zip missbrauchen
Ein Sicherheitsforscher demonstriert, wie Angreifer die neue Top-Level-Domain .zip zum Verteilen von Trojanern ausnutzen könnten.
Um Opfern Malware unterzuschieben, könnten Angreifer Packprogramme wie WinRAR im Webbrowser nachbauen und die Links dank der von Google jüngst freigeschalteten Top-Level-Domain (TLD) .zip besonders glaubhaft erscheinen lassen.
Wie das aussehen könnten, hat nun ein Sicherheitsforscher in einem Beitrag skizziert. Die .zip-TLD hat Google Mitte Mai 2023 freigegeben. Bereits zu diesem Zeitpunkt hat die IT-Security-Community die Phishinggefahr gewittert. Nun werden die Befürchtungen konkreter.
Hinters Licht geführt
Wenn es in einem Chat etwa im Arbeitsumfeld um ein Projekt geht und es angeblich neue Ergebnisse in einer Tabelle gibt, könnte ein Angreifer folgende Nachricht schreiben:
„Bitte laden Sie die Datei Ergebnisse.zip herunter. Die Datei öffnet sich automatisch im Packprogramm. Führen Sie die darin enthaltene Datei aus.“
Zum Beispiel der Messenger von Twitter macht aus Ergebnisse.zip
einen klickbaren Link und ein Opfer landet auf einer vom Angreifer kontrollierten Website. Damit diese Seite so glaubwürdig wie möglich aussieht, hat der Sicherheitsforscher in seinem Beispiel die Oberfläche von WinRAR und dem Dateiexplorer von Windows 11 nachgebaut.
Trojaner-Infektion
Nach einem Klick auf den Link sieht es für das Opfer so aus, als hätte es das nicht existierende Zip-Archiv in WinRAR geöffnet. Um die Ansicht noch glaubwürdiger zu machen taucht im Fake-WinRAR-Fenster sogar eine Meldung auf, dass das Archiv gescannt wurde und sicher ist.
Fällt ein Opfer darauf rein und lädt die Datei Ergebnisse.pdf
herunter, landet in Wirklichkeit ein Trojaner in Form der ausführbaren Datei mit der Bezeichnung Ergebnisse.pdf.exe
auf dem Computer. Da Windows aber standardmäßig bekannte Dateitypen, in diesem Fall .exe
, ausblendet, denkt das Opfer, dass es eine PDF-Datei öffnet.
Auf diesem Weg könnten Angreifer die PCs von Opfern mit Schadcode infizieren oder das Fake-Archiv führt zu einer Phishing-Website, auf der Betrüger Zugangsdaten ergaunern.
Um solchen Szenarien entgegenzuwirken, empfiehlt der Forscher Admins, die TLD .zip in Firmen vorerst global zu blockieren, bis man die davon ausgehende Gefahr auf lange Sicht besser einschätzen kann.
(des)