Mitte Mai 2023 hat Google die .zip-Top-Level-Domain (TLD) freigegeben. Angreifer könnten Packprogramme wie WinRAR im Webbrowser nachbauen und die Links dank der neuen TLD .zip besonders glaubhaft erscheinen lassen, um Opfern Malware unterzuschieben. Ein Sicherheitsforscher hat in einem Beitrag skizziert, wie dies aussehen könnte.

Ein Angreifer könnte beispielsweise in einem Chat innerhalb eines Arbeitsumfeldes um ein Projekt angeblich neue Ergebnisse in einer Tabelle ankündigen: „Bitte laden Sie die Datei Ergebnisse.zip herunter. Die Datei öffnet sich automatisch im Packprogramm. Führen Sie die darin enthaltene Datei aus.“

Der Messenger von Twitter zum Beispiel macht aus Ergebnisse.zip einen klickbaren Link. Darüber gelangt das Opfer auf einer vom Angreifer kontrollierten Website. Der Sicherheitsforscher hat in seinem Beispiel die Oberfläche von WinRAR und dem Dateiexplorer von Windows 11 nachgebaut, damit diese Seite so glaubwürdig wie möglich aussieht.

Für das Opfer sieht es nach einem Klick auf den Link so aus, als hätte es das nicht existierende Zip-Archiv in WinRAR geöffnet. Läd das Opfer die Datei Ergebnisse.pdf herunter, landet in Wirklichkeit ein Trojaner in Form der ausführbaren Datei mit der Bezeichnung Ergebnisse.pdf.exe auf dem Computer.

Angreifer könnten auf diesem Weg die PCs von Opfern mit Schadcode infizieren oder das Fake-Archiv führt zu einer Phishing-Website, auf der Betrüger an Zugangsdaten gelangen.

Der Forscher empfiehlt Administratoren, die TLD .zip in Firmen vorerst global zu blockieren, um solchen Szenarien entgegenzuwirken.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE