Cuidado com domínios .zip e .mov

Os nomes de sites hospedados em domínios ZIP e MOV são indistinguíveis dos nomes de arquivos. Como isso afetará os sistemas de TI e o que os agentes de ameaças farão?

Estamos acostumados com nomes de sites terminados em .com, .com.br, .org, .net e assim por diante. Nos últimos anos, surgiram novas extensões de domínio, como .aero, .club e outras. Esses são conhecidos como domínios de primeiro nível (em inglês top-level domains ou TLDs), e a lista, já longa, recebe novos acréscimos de vez em quando. O Google anunciou em maio que mais oito domínios estavam disponíveis, dois deles indistinguíveis das extensões de arquivo populares: .zip e .mov. A mudança foi recebida com críticas de especialistas em TI e cibersegurança, pois garantem a confusão, incentivam a bagunça no manuseio de links e possibilitam novos padrões de phishing.

Como confundir .zip e .zip

Arquivos ZIP e MOV existem há décadas: .zip é o padrão de compactação de documentos e .mov é um dos formatos de vídeo mais populares. O Google está direcionando esses novos domínios MOV e ZIP para técnicos, mas na verdade ambos estão disponíveis para qualquer pessoa e para qualquer finalidade.

Agora, apenas o contexto pode ajudá-lo a descobrir se um ZIP ou MOV é um site ou um arquivo ao encontrar, digamos, update.zip. No entanto, a aplicação em um cenário mais amplo é algo que os humanos podem entender, mas não os computadores, então uma referência como essa pode causar problemas em todos os tipos de aplicativos, como o Twitter:

Um tuíte que menciona os arquivos .zip and .mov. 

Um tuíte que menciona os arquivos .zip and .mov.

O tweet se refere claramente a arquivos, mas o Twitter transforma os nomes dos arquivos em links da web. Se alguém registrar os domínios test.zip e movie.mov, quem clicar nos links dos documentos pode ser vítima de algum tipo específico de esquema de phishing.

Esta publicação detalha como o uso do domínio .zip, combinado com a substituição de caracteres Unicode de aparência semelhante pela barra (/) no link, permite criar URLs de phishing excepcionalmente convincentes, difíceis de distinguir dos links legítimos do GitHub.

Jogo dos sete erros.

Jogo dos sete erros.

O pesquisador de segurança mr.d0x encontrou outra maneira de explorar o domínio .zip para phishing. A técnica que ele descreveu, apelidada de “arquivador de ficheiros no navegador”, envolve o uso de sites que imitam a interface do utilitário de arquivamento. O usuário, acreditando estar abrindo um arquivo .zip, na verdade é redirecionado para o site de mesmo nome e em vez de uma lista de arquivos ele vê URLs que podem levar a qualquer lugar. Por exemplo, eles podem ocultar um link para baixar um malware executável ou levar a uma solicitação de credenciais de trabalho para acessar algum documento. O mesmo documento também descreve um mecanismo de entrega interessante usando o Windows File Explorer. Se o invasor conseguir convencer sua vítima a procurar um arquivo .zip inexistente, o File Explorer abrirá automaticamente um site no domínio de mesmo nome.

A ameaça de phishing já é real, com alguns sites de phishing .zip que exploram o tema de atualização do Windows sendo detectados.

Não que esta seja a primeira vez que vimos confusão semelhante a esta. Um dos domínios originais, .com, também é uma extensão legítima para executáveis usados ativamente no MS-DOS (e versões mais antigas do Windows), enquanto a extensão .sh usada para scripts Unix é idêntica ao TLD para o Território Ultramarino Britânico de Santa Helena, Ascensão e Tristão da Cunha. Ainda assim, é ZIP e MOV, que são populares entre o público não tão segmentado, que têm o potencial de causar problemas para usuários e administradores de sistema. Mesmo que você esqueça o phishing por um momento, situações como a descrita no tweet acima podem ocorrer em dezenas de aplicativos que processam texto e links de destaque automaticamente. Portanto, a qualquer momento, um texto que contenha um nome de arquivo pode se transformar em um texto que contenha um hiperlink para um site externo. Um esquema de phishing ou não, isso poderia, no mínimo, causar transtornos, se não confusão. Visite financialstatement.zip para entender mais.

T Dicas para os usuários

O advento dos domínios ZIP e MOV não levará a mudanças drásticas no ecossistema de phishing e golpes online — apenas adicionará mais uma arma ao já vasto arsenal dos hackers. Portanto, nossas dicas antiphishing habituais permanecem inalteradas: estude cuidadosamente todos os links antes de clicar; cuidado com anexos e URLs em e-mails não solicitados; não clique em links suspeitos; e certifique-se de usar a segurança adequada em todos os seus dispositivos — até mesmo em smartphones e Macs.

Dicas para administradores

É provável que alguns usuários ignorem o conselho acima, portanto, dependendo de como sua organização opera, pode ser necessário configurar regras de segurança separadas para nomes de domínio .zip e .mov. Possíveis medidas incluem verificação de links mais rigorosa ou até mesmo bloquear completamente os usuários de visitar sites nesses domínios em computadores corporativos. Isso não seria sem precedentes: o domínio .bit foi amplamente bloqueado e desapareceu gradualmente devido a uma enxurrada de links maliciosos em 2018–2019.

A aparência dos domínios ZIP e MOV é uma excelente ocasião para conduzir— ou repetir! — treinamentos de segurança da informação para colaboradores (com foco na detecção de phishing).

Recomendamos que os administradores de TI testem todos os principais sistemas de negócios que processam links para ver como eles lidam com sites .zip e .mov e se o uso de arquivos ZIP é acompanhado por quaisquer efeitos indesejáveis. Sistemas de correio, aplicativos corporativos de mensagens instantâneas e serviços de compartilhamento de arquivos de funcionários devem ser monitorados especialmente de perto, pois é onde a confusão provavelmente reinará. Recursos indesejáveis, como a criação automática de links com base em determinados padrões de nome, podem ser desabilitados para ZIP e MOV ou de modo geral.

Dicas