Sicherheitsforscher warnt vor Missbrauch der neuen Domain-Endung .zip
Seit Mai sind ein paar neue Top-Level-Domains verfügbar, darunter auch .zip. Doch Cyberkriminelle könnten diese Domain-Endung zum Verteilen von Malware missbrauchen. Ein Cybersecurity-Forscher erklärt, wie sie dabei vorgehen könnten.
Die Auswahl an so genannten Top-Level-Domains (TLDs) wird immer grösser. Seit Mai 2023 können neu beispielsweise Domains mit Endungen wie .prof, .phd, .dad oder .foo registriert werden, wie einer Mitteilung von Google zu entnehmen ist. In der Cybersecurity-Branche sorgt jedoch eine neue TLD für besonders viel Gesprächsstoff: .zip, benannt nach dem sehr populären Dateiformat. Dank dieser Domain-Endung würde beispielsweise die Zeichenkette "Swisscybersecurity.zip" zu einer korrekten Web-Adresse. Und tatsächlich scheinen einige Dienste, wie beispielsweise die Messenger-Funktion in Twitter, aus solchen Zeichenketten automatisch anklickbare URLs zu machen, wie "Bleeping computer" bemerkt. Der im Bericht erwähnte Cybersecurity-Forscher, der sich Mr.D0x nennt, weist ausserdem darauf hin, dass der zu Windows-Systemen gehörende File Explorer automatisch einen Web-Browser öffnet, wenn er einen dort eingegebenen Dateinamen mit der Endung .zip nicht lokal finden kann.
Cyberkriminelle könnten dies künftig für ihre üblen Machenschaften ausnutzen. Wie sie dabei vorgehen könnten, schildert Mr.D0x auf seinem Blog: Er zeigt, wie sich in einem Web-Browser die Programmfenster von File Explorer oder Archivierungstools wie Winrar nachbauen lassen – also jene Fenster, die man auch zu Gesicht bekäme, wenn man eine legitime .zip-Datei anklicken würde. Dabei sind die Browserfenster so manipuliert, dass die zum Web-Browser gehörenden Symbole und Menüs ausgeblendet werden.
In diesen gefakten Programmfenstern könnten Angreifer etwa eine als PDF getarnte Programmdatei zum Download anbieten und so ihre ihrem Opfer Malware unterjubeln. Besonders dreist: In der Demo seines emulierten Winrar-Fensters behauptet ein Sicherheits-Symbol, die vermeintliche PDF-Datei sei gescannt und als virenfrei befunden worden. Anstatt einen Download zu starten, könnte laut dem Sicherheitsforscher auch eine Login-Seite angezeigt und damit klassisches Phishing betrieben werden.
Wie man Opfer in eine solche Falle locken könnte, beschreibt Mr.D0x nicht. Einem Angreifer müsste es im Rahmen einer Spear-Phishing-Attacke gelingen, seinem Opfer einen Link auf eine präparierte .zip-Seite zu schicken. Angreifer könnten aber auch auf gut Glück .zip-Domains mit mutmasslich passenden Namen (rechnung.zip, setup.zip o.ä.) registrieren und vorbereiten. Der Security-Forscher empfiehlt Systemadministratoren, sämtliche .zip-Domains in der Unternehmens-Firewall zu blockieren, um vor solchen Angriffen zu schützen.
New Work und hybride Arbeitsmodelle bringen einige Cybergefahren mit sich. Das NCSC gab unlängst Tipps für das sichere Arbeiten von zuhause oder unterwegs. Diese lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Eset sagt, warum die Herkunft von IT wichtig ist für das Vertrauen
Samsung 9100 Pro SSD – maximale Power für anspruchsvolle User
Künstliche Intelligenz als nächste Verteidigungslinie gegen digitale Bedrohungen
Update: Parlament stimmt für digitale Visumsanträge
KI-Power an der Limmat: Ideenlabor Zürich
Digitale Selbstbestimmung – was IT-Souveränität wirklich bedeutet
Intel schraubt an seiner Führungsebene
Fragmentierte Prozesslandschaften und Tool-Wildwuchs
Agentic AI transformiert die Unternehmens-IT
