Les nouveaux domaines de premier niveau .Zip et .Mov de Google suscitent des craintes d'hameçonnage de la part des experts

Nous connaissons tous les sites web qui ont des suffixes tels que .com, .net et .org. Ces suffixes sont appelés domaines de premier niveau (TLD ) et, selon l'IANA (Internet Assigned Numbers Authority), il existe près de 1 500 TLD différents gérés par divers registres. Au fil des ans, la liste des TLD s'est allongée avec des ajouts tels que .xyz, .io, .ai et bien d'autres encore.

Bien que les TLD soient inoffensifs en soi, les pirates et les escrocs combinent souvent les noms de domaine et les TLD pour créer des sites web et des liens malveillants. Par exemple, rien n'empêche un escroc d'acheter un nom de domaine comme "amazon12[.]net" et de l'utiliser pour créer un site web ou des adresses électroniques malveillantes.

Les abus de TLD sont monnaie courante dans les campagnes d'hameçonnage où un courriel peut sembler provenir d'une adresse électronique officielle mais est en fait envoyé à partir d'un identifiant de courriel copié, par exemple "order-update@amazon12[.]net". Ces tactiques fonctionnent car lorsqu'une personne voit le nom d'une marque de confiance dans un URL ou une adresse électronique, elle est plus susceptible de cliquer sur des liens menant à des sites web et des fichiers malveillants.

Le nouveau TLD '.Zip' suscite la controverse chez Google

En mai 2023, le registre Google a annoncé huit nouveaux domaines de premier niveau: .dad, .phd, .prof, .esq, .foo, .zip, .mov et .nexus. Les spécialistes de la cybersécurité ont attiré l'attention sur deux de ces domaines de premier niveau - .zip et .mov - parce qu'ils sont facilement exploitables par les pirates informatiques, les escrocs et les spammeurs.

La critique vient du fait que .Zip et .Mov sont deux des extensions de format de fichier informatique les plus populaires. Le fait que des TLD soient identiques à des extensions de fichiers est un problème existant - .com est également un format de fichier exécutable, l'extension polonaise .pl représente également des scripts Perl et .sh représente à la fois Sainte-Hélène et des scripts shell Unix. Cependant, l'omniprésence des formats de fichiers .zip et .mov rend ces nouveaux TLD beaucoup plus potentiellement nuisibles.

Zip est l'extension des archives de fichiers compressés et Mov est l'une des extensions de fichiers vidéo les plus courantes. Ces types de fichiers sont souvent inclus dans les pièces jointes des courriels et un cybercriminel pourrait donc théoriquement acheter un domaine .zip portant le même nom qu'un nom de fichier couramment utilisé, tel que "report.zip", et diriger les victimes par courriel vers un site d'hameçonnage contenant des logiciels malveillants.

La menace est d'autant plus grande que les plateformes de messagerie et les sites de médias sociaux convertissent automatiquement en URL les noms de fichiers portant les extensions .zip et .mov. Dans l'exemple ci-dessous de Twitter, l'envoi d'instructions sur l'ouverture d'un fichier zip et l'accès à un fichier MOV entraîne la conversion des noms de fichiers en URL.

Source : BleepingComputer BleepingComputer

Le domaine de premier niveau .Zip est déjà utilisé pour des leurres d'hameçonnage

Netcraft a enquêté sur les enregistrements existants du TLD .Zip et a confirmé qu'il existe déjà des preuves d'activités frauduleuses. L'enquête a permis de découvrir 5 000 domaines enregistrés utilisant .zip et des attaques d'hameçonnageont été découvertes sur cinq de ces domaines usurpant l'identité de marques telles que Google, Microsoft et Okta.

microsoft-office[.]zip a d'abord affiché "This is not a microsoft page" avant d'être modifié pour ressembler à une page de connexion Microsoft une heure plus tard.

Panneaux de connexion affichés sur microsoft-office[.]zip (Source : Netcraft)

De nombreux domaines enregistrés sont susceptibles d'être des enregistrements de mauvaise foi :

• les domaines contenant des noms de marque connus
• Les domaines qui mentionnent "installer" ou "mettre à jour".
• les domaines qui mentionnent des banques par leur nom, comme bankofamericasecurities[.]zip
• des URL telles que "attachment[.]zip" ou "video[.]mov" qui peuvent être incluses dans des courriels où la victime s'attend à télécharger un fichier, mais où elle est renvoyée vers le domaine.
  Domaines contenant ou redirigeant vers un fichier .zip. Au moins deux d'entre eux étaient des bombes zip déployées pour désactiver les logiciels antivirus.

Google a répondu aux inquiétudes concernant le domaine .zip par la déclaration suivante.

"Le risque de confusion entre les noms de domaine et les noms de fichier n'est pas nouveau. Par exemple, les produits Command de 3M utilisent le nom de domaine command.com, qui est également un programme important de MS DOS et des premières versions de Windows. Les applications disposent de mesures d'atténuation (telles que Google Safe Browsing), et ces mesures s'appliqueront également aux TLD tels que .zip.

Dans le même temps, de nouveaux espaces de nommage offrent de nouvelles possibilités de dénomination, comme community.zip et url.zip. Google prend très au sérieux le phishing et les logiciels malveillants et le registre Google dispose de mécanismes permettant de suspendre ou de supprimer les domaines malveillants dans tous nos TLD, y compris le .zip. Nous continuerons à surveiller l'utilisation de .zip et d'autres TLD et si de nouvelles menaces apparaissent, nous prendrons les mesures qui s'imposent pour protéger les utilisateurs".

Bien que des appels aient été lancés à Google pour qu'il révoque ces nouveaux TLD en raison des abus potentiels, il semble qu'ils soient là pour rester. Vérifiez toujours soigneusement les liens avant de cliquer et évitez de cliquer sur les liens contenus dans les courriels et les messages textuels.