Nuevos dominios ZIP provocan debate entre expertos en ciberseguridad

Los investigadores de ciberseguridad y los administradores de TI han expresado su preocupación por los nuevos dominios de Internet ZIP y MOV de Google, advirtiendo que los actores de amenazas podrían usarlos para ataques de phishing y entrega de malware.

A principios de este mes, Google introdujo ocho nuevos dominios de nivel superior (TLD) que podrían comprarse para alojar sitios web o direcciones de correo electrónico.

Los nuevos dominios son .dad, .esq, .prof, .phd, .nexus, .foo, y para el tema de nuestro artículo, los TLD de dominio .zip y .mov.

Si bien los TLD ZIP y MOV han estado disponibles desde 2014, no fue hasta este mes que estuvieron disponibles para todos, lo que permite a cualquiera comprar un dominio, como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, para un sitio web.

Sin embargo, estos dominios podrían percibirse como riesgosos, ya que los TLD también son extensiones de archivos comúnmente compartidos en publicaciones en foros, mensajes y discusiones en línea, que ahora se convertirán automáticamente en URL por algunas plataformas o aplicaciones en línea.

La preocupación

Dos tipos de archivos comunes que se ven en línea son los archivos ZIP y los videos MPEG 4, cuyos nombres de archivo terminan en .zip (archivo ZIP) o .mov (archivo de video).

Por lo tanto, es muy común que las personas publiquen instrucciones que contengan nombres de archivo con las extensiones .zip y .mov.

Sin embargo, ahora que son TLD, algunas plataformas de mensajería y sitios de redes sociales convertirán automáticamente los nombres de archivo con extensiones .zip y .mov en URL.

Por ejemplo, en Twitter, si envía a alguien instrucciones sobre cómo abrir un archivo zip y acceder a un archivo MOV, los nombres de archivo inocuos se convierten en una URL, como se muestra a continuación.


Cuando las personas ven las URL en las instrucciones, comúnmente piensan que la URL se puede usar para descargar el archivo asociado y pueden hacer clic en el enlace. Por ejemplo, vincular nombres de archivo a descargas es la forma en que generalmente proporcionamos instrucciones sobre BleepingComputer en nuestros artículos, tutoriales y foros de discusión.

Sin embargo, si un actor de amenazas poseía un dominio .zip con el mismo nombre que un nombre de archivo vinculado, una persona puede visitar por error el sitio y caer en una estafa de phishing o descargar malware, pensando que la URL es segura porque proviene de una fuente confiable.

Si bien es muy poco probable que los actores de amenazas registren miles de dominios para capturar algunas víctimas, solo necesita que un empleado corporativo instale malware por error para que toda una red se vea afectada.

El abuso de estos dominios no es teórico, ya que la firma de inteligencia cibernética Silent Push Labs ya está descubriendo lo que parece ser una página de phishing en microsoft-office. zip intentando robar las credenciales de la cuenta Microsoft.


Los investigadores de ciberseguridad también han comenzado a jugar con los dominios, con Bobby Rauch publicando investigaciones sobre el desarrollo de enlaces de phishing convincentes utilizando caracteres Unicode y el delimitador de información de usuario (@) en las URL.

La investigación de Rauch muestra cómo los actores de amenazas pueden crear URL de phishing que parecen URL legítimas de descarga de archivos en GitHub, pero en realidad lo llevan a un sitio web en v1.27.1 [.] zip cuando se hace clic, como se ilustra a continuación.


Opiniones contradictorias

Estos desarrollos han provocado un debate entre desarrolladores, investigadores de seguridad y administradores de TI, con algunos sintiendo que los temores no están justificados y otros sintiendo que los TLD ZIP y MOV agregan riesgos innecesarios a un entorno en línea ya arriesgado.


Las personas han comenzado a registrar dominios .zip que están asociados con archivos ZIP comunes, como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, estado No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, archivo No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta y copia de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, para mostrar información sobre los riesgos de los dominios ZIP, para RickRoll o para compartir información inofensiva.

El desarrollador de código abierto Matt Holt también solicitó que el TLD ZIP se eliminara de la Lista de Sufijos Públicos de Mozilla, una lista de todos los dominios públicos de nivel superior que se incorporarán en aplicaciones y navegadores.

Sin embargo, la comunidad PSL explicó rápidamente que, si bien puede haber un ligero riesgo asociado con estos TLD, siguen siendo válidos y no deben eliminarse de la PSL, ya que afectaría la operación de sitios legítimos.

"Eliminar los TLD existentes de la PSL por esta razón sería simplemente incorrecto. Esta lista se usa por muchas razones diferentes, y solo porque estas entradas son malas para un caso de uso muy específico, todavía son necesarias para (casi) todos los demás ", explicó el ingeniero de software Felix Fontein.

"Estos son TLD legítimos en la raíz ICP3. Esto no procederá", compartió el mantenedor de PSL Jothan Frakes.

"Realmente, las preocupaciones expresadas son más un ejemplo evidente de una desconexión entre el desarrollador y la comunidad de seguridad y la gobernanza de los nombres de dominio, donde se beneficiarían de una mayor participación dentro de ICANN".

Al mismo tiempo, otros investigadores y desarrolladores de seguridad han expresado que creen que los temores con respecto a estos nuevos dominios son exagerados.



Cuando BleepingComputer contactó a Google sobre estas preocupaciones, dijeron que el riesgo de confusión entre los nombres de archivo y dominio no es nuevo, y que existen mitigaciones del navegador para proteger a los usuarios del abuso.


¿Qué debe hacer?

La realidad es que no necesita hacer nada más de lo que ya está haciendo para protegerse de los sitios de phishing.

Como todos ya deberían saber, nunca es seguro hacer clic en enlaces de personas o descargar archivos de sitios en los que no confía.

Como cualquier enlace, si ve un enlace .zip o .mov en un mensaje, investigue antes de hacer clic en él. Si aún no está seguro de si el enlace es seguro, no haga clic en él.

Al seguir estos sencillos pasos, el impacto de los nuevos TLD será mínimo y no aumentará significativamente su riesgo.

Sin embargo, la exposición a estos enlaces probablemente aumentará a medida que más aplicaciones conviertan automáticamente los nombres de archivo ZIP y MOV en enlaces, lo que le dará una cosa más con la que debe tener cuidado cuando esté en línea.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta