Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1096
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
mayo
(Total:
105
)
- Google deja sin soporte el popular ChromeCast de p...
- Abogados usaron ChatGPT para demandar a una aerolí...
- Ya disponible para descargar: Kali Linux 2023.2
- Le robaron 200€ y acabó denunciado por compartir e...
- Las discográficas culpan a la Wikipedia de sus pér...
- Discos Duros WD para NAS Synology "caducan" a los ...
- Colapsan "The Internet Archive" por culpa del entr...
- Cómo usar Generative Fill, la inteligencia artific...
- Un abogado se enfrenta a sanciones por usar ChatGP...
- Elon Musk ya tiene autorización para probar implan...
- Un simple enlace de WhatsApp cuelga la aplicación ...
- El algoritmo de la activación de Windows XP ha sid...
- Predator, otro spyware mercenario
- Una app de Android grabó audio de sus usuarios en ...
- El malware QBot utiliza del EXE de WordPad en Wind...
- Cómo funciona el procesador de un PC
- El ataque "Hot Pixel" podría robar datos de chips ...
- Microsoft desvela un ataque informático chino a in...
- Microsoft presenta Windows 11 ‘Momentos 3’
- ¿Qué es NIS2 y cómo afecta a la Ciberseguridad en ...
- Videollamadas con la cara y la voz clonada de tu m...
- Podman Desktop 1.0, primera versión mayor de la he...
- Una explosión en el Pentágono creada por inteligen...
- Amouranth ya tiene un chatbot erótico y de pago ge...
- Windows 11 integra nuevo asistente de inteligencia...
- La Audiencia Nacional de España deja en libertad ...
- BugCheck2Linux: Ejecuta Linux después de una panta...
- España pretende prohibir el cifrado de extremo a e...
- Así revelan las apps de Android nuestros secretos ...
- WhatsApp ya permite editar mensajes enviados duran...
- Millones de televisores Android TV y teléfonos bar...
- China prohíbe la compra de los microchips de la es...
- Intel propone eliminar definitivamente los 32 y 16...
- Teléfonos Android son vulnerables a los ataques de...
- CVE-2023-27363: Prueba de concepto para ejecución ...
- Secure Boot, la característica de seguridad de UEFI
- PMFault, una vulnerabilidad que permite dañar físi...
- Meta recibe la mayor multa de la historia de la Un...
- Zero trust: la desconfianza por defecto como clave...
- Apple emite parches de emergencia para Safari (vul...
- Vulnerabilidad en Keepass permite obtener la contr...
- Twitter acusa a Microsoft de usar sus datos de man...
- Microsoft tardará casi un año en terminar de parch...
- El CEO de ChatGPT dice en el Senado de EE.UU que «...
- Los peligros de los nuevos dominios .zip registrad...
- WARP, la VPN gratuita de CloudFlare
- Actualización de seguridad 6.2.1 para WordPress
- Mojo, el nuevo lenguaje de programación creado por...
- En 15 minutos un iPhone podrá hablar con tu voz
- La IA la vuelve a liar: las imágenes de la Ministr...
- Microsoft está escaneando archivos ZIP protegidos ...
- Google eliminará las cuentas que lleven dos años i...
- EE.UU. ofrece una recompensa de 10 millones por la...
- WhatsApp introduce el bloqueo de Chats con contras...
- Euskaltel víctima de un hackeo con robo de 3TB dat...
- LTESniffer, una herramienta open source para inter...
- Alternativas RaspBerry Pi: Orange Pi 5 Plus y Bana...
- Youtuber confiesa que estrelló su avioneta para co...
- Directivo empresa unidades flash pronostica el fin...
- Elon Musk elige a Linda Yaccarino, exdirectora de ...
- Alternativas gratuitas a Photoshop
- El código fuente filtrado de Babuk permite crear n...
- Toyota expone los datos de localización de 2 millo...
- Maltego, la herramienta para recopilar información...
- Cuidado con falsa pantalla de actualizaciones de W...
- El Ayuntamiento de Madrid alertó de multas falsas ...
- uBlock Origin, el complemento más popular del nave...
- YouTube no permite ver vídeos a los usuarios que u...
- Cómo solucionar problemas y recuperar con el Inici...
- Google realiza en su buscador el mayor cambio de t...
- WhatsApp activa el micrófono sin tu permiso por cu...
- Detenidos en España miembros de los Trinitarios ac...
- PlugWalkJoe: el ermitaño que hackeó Twitter se enf...
- Así se las ingenia este usuario para conseguir pen...
- Multan con 200 mil € al Mobile World Congress de B...
- Golpe histórico del FBI a ciberdelincuentes rusos:...
- El FBI incauta 13 dominios utilizados para vender ...
- La Policía española investiga si Alcasec y su soci...
- Disponible distro Parrot OS 5.3 con Linux 6.1 y MA...
- La polícia de San Bernardino (California) paga el ...
- Amazon se llena de reseñas falsas generadas con Ch...
- Rusia usó WinRAR para borrar ficheros a Ucrania en...
- El padre de Elon Musk confirma la existencia de su...
- Detenido por pedir un préstamo suplantando la iden...
- Discord te obligará a cambiar tu nombre de usuario
- QR, bluetooth y criptografía: esta es la idea de G...
- Ataques de DLL sideloading o Hijacking
- Google anuncia el Pixel Fold, su primer móvil pleg...
- Día mundial de las contraseñas
- Resultados financieros de Apple: récord ingresos i...
- Apple estrena los parches de respuesta de segurida...
- Gmail activa los emails verificados con una insign...
- Google dice que solo el 11% entienden el significa...
- FaulTPM es una vulnerabilidad que afecta a los pro...
- La Generalitat Cataluña quiere grabar hasta lo que...
- Apple y Google trabajan para evitar la localizació...
- Herramientas para detectar typosquatting
- Las cuentas de Google admiten claves de acceso y y...
- ProtonPass, el nuevo gestor de contraseñas con cif...
- El 'padrino' de la IA deja Google y avisa de los p...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Dado que Unbound DNS en OPNsense no soporta DNS sobre HTTPS (DoH) directamente, fue necesario utilizar el plugin DNSCrypt-Proxy. El plugin t...
-
Los servidores MS-SQL están siendo hackeados a través de ataques de fuerza bruta o diccionario que aprovechan las credenciales de cuenta f...
Los peligros de los nuevos dominios .zip registrados a Google por 15$
Google lanzó un nuevo TLD o "Dominio de nivel superior" de .ZIP, lo que significa que ahora puede comprar un dominio .ZIP, similar a un dominio .COM o .ORG por solo 15 dólares. La comunidad de seguridad inmediatamente alertó sobre los peligros potenciales de este TLD. En este breve artículo, cubriremos cómo un atacante puede aprovechar este TLD, en combinación con el operador @
y el carácter Unicode ∕ (U+2215)
para crear un phishing extremadamente convincente.
Google permite registrar 8 nuevas extensiones de dominios de primer nivel:
- .dad
- .phd
- .prof
- .esq
- .foo
- .zip
- .mov
- .nexus
Si bien existe cierto riesgo de confusión, en realidad no es mucho más que el statu quo, que tolera bastantes problemas relacionados con la superposición de nombres, homoglifos y preocupaciones relacionadas. Como han señalado otros, .com fue una vez una extensión de archivo común en el mundo de Microsoft, y el CC-TLD para Polonia (.pl) sigue siendo la extensión de archivo para Perl. El CC-TLD para Santa Elena (.sh) también es la extensión de archivo para scripts de shell y la República de Serbia comparte su CC-TLD (.rs) con la extensión de archivo Rust.
¿Puedes decir rápidamente cuál de las siguientes URL es legítima y cuál es un phishing malicioso que arroja evil.exe?
https://github.com∕kubernetes∕kubernetes∕archivo∕refs∕tags∕@v1271.zip
https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip
Si bien existe cierto riesgo de confusión, en realidad no es mucho más que el statu quo, que tolera bastantes problemas relacionados con la superposición de nombres, homoglifos y preocupaciones relacionadas. Como han señalado otros, .com fue una vez una extensión de archivo común en el mundo de Microsoft, y el CC-TLD para Polonia (.pl) sigue siendo la extensión de archivo para Perl. El CC-TLD para Santa Elena (.sh) también es la extensión de archivo para scripts de shell y la República de Serbia comparte su CC-TLD (.rs) con la extensión de archivo Rust.
Como puede ver en el desglose de una URL a continuación, todo lo que se
encuentra entre el esquema https://
y el operador
@
se trata como información de usuario, y todo lo que está
después del operador @
se trata inmediatamente como un nombre de
host.
Sin embargo, los navegadores modernos como Chrome, Safari y Edge no quieren que los usuarios se autentiquen en sitios web accidentalmente con un solo clic, por lo que ignorarán todos los datos en la sección de información del usuario y simplemente dirigirán al usuario a la parte del nombre de host de la URL.
Sin embargo, si comenzamos a agregar barras a la URL que viene antes del
operador @
, como https://google.com/search@bing.com
,
nuestro navegador comenzará a analizar todo después de la barra inclinada como
la ruta, y ahora se ignorará la parte bing.com
de la URL y nos
dirigirá a google.com
.
Entonces, digamos que buscábamos crear una URL de phishing que contenía barras
antes del operador @
para que pareciera que la víctima está
visitando una la URL de google.com
, pero en realidad lo redirija
a bing.com
.
Según
este informe de errores de Chromium de 2016, los caracteres Unicode U+2044 (⁄)
y
U+2215 (∕)
están permitidos en los nombres de host, pero el
navegador no los trata como barras inclinadas. Ambos caracteres Unicode se
parecen al carácter legítimo de barra diagonal U+002F (/)
.
Si creamos una URL como: https://google.com∕gmail∕inbox@bing.com
Se dirigirá al usuario a bing.com
, ya que las barras diagonales
U+2215
se tratan como parte de la parte UserInfo de la
URL, en lugar de como el comienzo de una ruta.
Podemos aprovechar este conocimiento y crear un phishing muy convincente de un archivo .ZIP legítimo con el nuevo TLD .ZIP de Google.
Usemos un paquete de código de Github como ejemplo. Si un usuario desea descargar una copia del software Kubernetes de código abierto, debe visitar la sección de lanzamientos de Github y descargar la URL desde:
https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip
Tomemos la URL anterior y reemplacemos todas las barras diagonales después de
https://
con barras diagonales U+2215 (∕)
y
agreguemos el operador @
antes de v.1.27.1.zip
.
https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip
Visitar la URL anterior nos llevará a la parte del nombre de host de la URL,
v1.27.1.zip
. Desafortunadamente, el dominio 1.zip
ya
ha sido reclamado, pero podemos continuar y reclamar una URL similar,
v1271.zip
por U$S 15.
Nuestra URL maliciosa a continuación, parece casi indistinguible de la URL legítima:
Maliciosa:
https://github.com∕kubernetes∕kubernetes∕archivo∕refs∕tags∕@v1271.zip
Legítima:
https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip
En un cliente de correo electrónico, podríamos hacerlo aún más convincente y
cambiar el tamaño del operador @
a una fuente de tamaño 1, lo que
lo hace visualmente inexistente para el usuario, pero aún presente como parte
de la URL.
Detecciones
-
Buscar que los dominios que contengan
U+2044 (⁄)
yU+2215 (∕)
-
Buscar que los dominios que contengan operadores
@
seguidos de archivos .ZIP - Siempre tenga cuidado al descargar archivos de direcciones URL enviadas por destinatarios desconocidos y desplace el cursor sobre las direcciones URL antes de hacer clic para ver la ruta de la dirección URL ampliada.
Con este asunto Google ha provocado un serio problema de seguridad bajo el simple supuesto de embolsarse 15 dólares por cada venta de un dominio .ZIP que haga, siendo cierto también que ha sido, en última instancia, ICANN quien ha permitido que esto pase.
Por otro lado, la realidad es que URL, que ya son confusas, se vuelvan mucho más confusas con .ZIP y .MOV. Las URL ya son increíblemente complicadas, y confiar en que los usuarios las analicen mental y correctamente es una propuesta perdedora. ¿Qué será lo próximo, los dominios .EXE?
Fuente: Bobbyrsec
Vía:
https://blog.segu-info.com.ar/2023/05/como-google-te-engana-con-dominios-zip.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.