Sicherheitsforscher warnt vor Missbrauch der neuen Domain-Endung .zip
Seit Mai sind ein paar neue Top-Level-Domains verfügbar, darunter auch .zip. Doch Cyberkriminelle könnten diese Domain-Endung zum Verteilen von Malware missbrauchen. Ein Cybersecurity-Forscher erklärt, wie sie dabei vorgehen könnten.
Die Auswahl an so genannten Top-Level-Domains (TLDs) wird immer grösser. Seit Mai 2023 können neu beispielsweise Domains mit Endungen wie .prof, .phd, .dad oder .foo registriert werden, wie einer Mitteilung von Google zu entnehmen ist. In der Cybersecurity-Branche sorgt jedoch eine neue TLD für besonders viel Gesprächsstoff: .zip, benannt nach dem sehr populären Dateiformat. Dank dieser Domain-Endung würde beispielsweise die Zeichenkette "Swisscybersecurity.zip" zu einer korrekten Web-Adresse. Und tatsächlich scheinen einige Dienste, wie beispielsweise die Messenger-Funktion in Twitter, aus solchen Zeichenketten automatisch anklickbare URLs zu machen, wie "Bleeping computer" bemerkt. Der im Bericht erwähnte Cybersecurity-Forscher, der sich Mr.D0x nennt, weist ausserdem darauf hin, dass der zu Windows-Systemen gehörende File Explorer automatisch einen Web-Browser öffnet, wenn er einen dort eingegebenen Dateinamen mit der Endung .zip nicht lokal finden kann.
Cyberkriminelle könnten dies künftig für ihre üblen Machenschaften ausnutzen. Wie sie dabei vorgehen könnten, schildert Mr.D0x auf seinem Blog: Er zeigt, wie sich in einem Web-Browser die Programmfenster von File Explorer oder Archivierungstools wie Winrar nachbauen lassen – also jene Fenster, die man auch zu Gesicht bekäme, wenn man eine legitime .zip-Datei anklicken würde. Dabei sind die Browserfenster so manipuliert, dass die zum Web-Browser gehörenden Symbole und Menüs ausgeblendet werden.
In diesen gefakten Programmfenstern könnten Angreifer etwa eine als PDF getarnte Programmdatei zum Download anbieten und so ihre ihrem Opfer Malware unterjubeln. Besonders dreist: In der Demo seines emulierten Winrar-Fensters behauptet ein Sicherheits-Symbol, die vermeintliche PDF-Datei sei gescannt und als virenfrei befunden worden. Anstatt einen Download zu starten, könnte laut dem Sicherheitsforscher auch eine Login-Seite angezeigt und damit klassisches Phishing betrieben werden.
Wie man Opfer in eine solche Falle locken könnte, beschreibt Mr.D0x nicht. Einem Angreifer müsste es im Rahmen einer Spear-Phishing-Attacke gelingen, seinem Opfer einen Link auf eine präparierte .zip-Seite zu schicken. Angreifer könnten aber auch auf gut Glück .zip-Domains mit mutmasslich passenden Namen (rechnung.zip, setup.zip o.ä.) registrieren und vorbereiten. Der Security-Forscher empfiehlt Systemadministratoren, sämtliche .zip-Domains in der Unternehmens-Firewall zu blockieren, um vor solchen Angriffen zu schützen.
New Work und hybride Arbeitsmodelle bringen einige Cybergefahren mit sich. Das NCSC gab unlängst Tipps für das sichere Arbeiten von zuhause oder unterwegs. Diese lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Das ist die Nominiertenliste von Best of Swiss Software 2025
Kontrollverlust durch KI ist kein Risiko mehr, sondern Realität
Initiative fordert Verbot biometrischer Gesichtserkennung
Bis 2033 fehlen in der Schweiz 54'000 ICT-Fachkräfte
SAP-Anwender fordern standardisiertes, offenes Betriebsmodell für Cloud
Schweizer KI-Initiative schafft Plattform für Präzisionsonkologie
Ein etwas anderer Schlagabtausch
Nvidia investiert 5 Milliarden US-Dollar in Konkurrent Intel
Schweiz verteidigt Titel als Innovationsweltmeisterin
