Новая угроза: хакеры регистрируют домены «.ZIP» для совершения фишинговых атак

[Artifact]

Специалисты Fortinet рассказали, как обезопасить себя от ловушек злоумышленников.
Исследователи безопасности из FortiGuard Labs обнаружили, что злоумышленники обнаружили новый способ обмана интернет-пользователей — они регистрируют домены с расширением «.ZIP», которое обычно используется для сохранения сжатых файлов.
TLD-домены или «домены верхнего уровня» представляют из себя конечный сегмент доменного имени, такой как «.COM», «.ORG» или «.NET» и т.д. Со временем появились сотни так называемых «общих TLD» или «gTLD», которые предлагают индивидуальные адреса для организаций и пользователей, которые соответствуют их бренду, например «Z.cash», «X.team» или «Vacation.rentals».
Согласно отчёту FortiGuard, Общие TLD открыли новые возможности для использования злоумышленниками, а доступность доменов «.ZIP» для покупки значительно расширила возможности использования. Появление gTLD уже затруднило обнаружение фишинговых атак. Теперь добавление домена «.ZIP» создаёт путаницу среди неопытных пользователей.
Например, домен «businesscentral[.]zip», который появился 15 мая, сразу же скачивал на компьютер посетителя вредоносный файл с названием «file.exe». Другой домен, «chatgpt[.]zip», который зарегистрировали 20 мая, предлагал скачать архив с последней версией чат-бота ChatGPT, но в архиве, разумеется, лежал вредоносный файл.

Забавная записка хакеров, «поймавших» свою жертву
Еще один домен, «assignment[.]zip», перенаправлял пользователей на пустые архивы, а домен «voorbeeld[.]zip» попросту не содержал какого-либо контента. Исследователи отмечают, что за этими доменами пока не зафиксировано вредоносной активности, однако они могут быть использованы для этого в будущем.
Один из реальных примеров угрозы — домен «42[.]zip», который тоже появился в Сети 15 мая. Он сразу же скачивает вредоносный файл, представляющий из себя так называемую «ZIP-бомбу», ведущую к распаковке огромного массива данных, который занимает всё доступное пространство на компьютере жертвы.
Чтобы защититься от таких атак, эксперты FortiGuard Labs советуют пользователям блокировать домены «.ZIP» на своих брандмауэрах, использовать веб-фильтры и браузерные расширения для проверки сайтов, а также всегда смотреть на URL-адреса перед тем, как на них переходить. Особенно если их отправил посторонний пользователь.
Также нужно регулярно обновлять антивирусное ПО, операционные системы, браузеры и прочий установленный софт, чтобы закрыть все потенциальные дыры в безопасности вашего компьютера.