The Dangers of .ZIP Domains: Emerging Phishing Threats Exposed

Last week, security researcher mr.d0x unveiled a new phishing technique that leverages a deceptive approach to trick victims into divulging sensitive information. This method, known as "file archiver in the browser," emulates a file archiver software within a web browser, using a .ZIP domain to create a sense of legitimacy.

By creating a phishing landing page that closely mimics legitimate file archive software through HTML and CSS, threat actors can exploit social engineering techniques more effectively. Hosted on a .ZIP domain, these convincing pages can deceive unsuspecting users and elevate the success rate of phishing campaigns.

One scenario involves redirecting users to a credential harvesting page upon clicking a file supposedly contained within the fake ZIP archive. This tactic preys on users' trust in file archives, leading them to inadvertently disclose sensitive login credentials.

Additionally, the Windows File Explorer search bar can act as a covert gateway, automatically opening a corresponding .ZIP domain in the web browser if a non-existent ZIP file is searched. Exploiting user expectations of encountering ZIP files, this technique further enhances the illusion of legitimacy.

The release of new top-level domains (TLDs), including ".ZIP" and ".MOV," by Google has raised concerns within the security community. As both ".ZIP" and ".MOV" are common file extensions, users may inadvertently navigate to malicious websites instead of opening files, potentially exposing themselves to phishing attacks or malware downloads.

As phishing techniques continue to evolve, it is essential for individuals and organizations to remain vigilant. Blocking access to .ZIP and .MOV domains is highly recommended, as these TLDs are already being exploited for phishing purposes and are likely to be increasingly targeted in the future.

#pt

Na semana passada, o pesquisador de seguran?a mr.d0x revelou uma nova técnica de phishing que utiliza uma abordagem enganosa para enganar as vítimas e obter informa??es confidenciais. Esse método, conhecido como "file archiver in the browser", simula um software de arquivamento de arquivos em um navegador da web, usando um domínio .ZIP para criar uma sensa??o de legitimidade.

Ao criar uma página de destino de phishing que se assemelha muito a um software legítimo de arquivamento de arquivos por meio de HTML e CSS, os atores maliciosos podem explorar técnicas de engenharia social de forma mais eficaz. Hospedadas em um domínio .ZIP, essas páginas convincentes podem enganar usuários desprevenidos e aumentar a taxa de sucesso das campanhas de phishing.

Um cenário envolve redirecionar os usuários para uma página de coleta de credenciais ao clicar em um arquivo supostamente contido no falso arquivo ZIP. Essa tática se aproveita da confian?a dos usuários em arquivos arquivados, levando-os a divulgar inadvertidamente informa??es confidenciais de login.

Além disso, a barra de pesquisa do Windows File Explorer pode funcionar como uma porta dissimulada, abrindo automaticamente um domínio .ZIP correspondente no navegador da web se um arquivo ZIP inexistente for pesquisado. Ao explorar as expectativas dos usuários de encontrar arquivos ZIP, essa técnica aumenta ainda mais a ilus?o de legitimidade.

O lan?amento de novos domínios de alto nível (TLDs), incluindo ".ZIP" e ".MOV", pelo Google tem levantado preocupa??es dentro da comunidade de seguran?a. Como ".ZIP" e ".MOV" s?o extens?es de arquivo comuns, os usuários podem inadvertidamente acessar sites maliciosos em vez de abrir arquivos, expondo-se a ataques de phishing ou downloads de malware.

à medida que as técnicas de phishing continuam evoluindo, é essencial que indivíduos e organiza??es permane?am vigilantes. Recomenda-se bloquear o acesso aos domínios .ZIP e .MOV, pois esses TLDs já est?o sendo explorados para fins de phishing e provavelmente ser?o cada vez mais visados no futuro.