Cuidado! Domínios vendidos pela Google abrem novos perigos.

No começo de Maio, a Google Registry anunciou alguns novos TLDs à venda: dentre eles estão os domínios .zip e .mov. Uma escolha estranha que vem sendo questionada por experts em cybersegurança pelos potenciais perigos e novos vetores de ataque que abrem para hackers.

Be careful when trying to open a non-existent .zip file in Windows Explorer or in another file explorer! This can be dangerous. As an example, "https://t.co/r4UKdIk8w1" is now a valid URL. If you write this in Windows Explorer will open a valid url in your web browser. pic.twitter.com/EdNu8dAfWu

— breno_css (@breno_css) 12 de maio de 2023

O que é importante saber?

• Top Level Domain (TLD) é o nome dado ao nível de hierarquia mais alta de DNS.
  • Em outras palavras, são os sufixos .com, .net, .org ou .gov são indentificadores importantíssimos para garantir que o site acessado seja o correto.
• A Google começou a vender alguns domínios “divertidos” como .dad, .phd, .prof, .esq, .foo, .zip, .mov and .nexus.
• Enquanto a maior parte desses seja inofensivo, .zip e .mov são particularmente preocupantes por se tratar de extensões de arquivo.
• De forma resumida, qualquer URL que termine em qualquer um desses domínios agora pode ser malicioso, e qualquer menção a arquivos irá redirecionar usuários para sites não relacionados.

Como isso pode ser abusado?

Os sufixos .zip e .mov são dois formatos comuns em arquivos; .zip se usa para arquivos compactados e as vezes encriptados para fácil compartilhamento, e .mov é um formato para vídeos usando codecs QuickTime (um formato comum em aparelhos da Apple). Não é incomum encontrar qualquer um dos dois formatos para serem baixados pela internet.

Isso abre dois grandes vetores de ataque: Primeiro, certas URLs podem parecer legítimas mas estão montadas de um jeito que redireciona o usuário para um link malicioso. Segundo, todas as menções a arquivos desses tipos agora serão convertidos para hyperlinks que não tem nada a ver com o arquivo em questão.

Por exemplo a URL https://nvidia.com/updates/critical/may2023/@attachment.zip parece legítima, mas ao invés de ser algo da Nvidia, ele simplesmente redireciona para um Rick Roll. A chave para identificar que o link é modificado é o @ que vem antes do nome do domínio. Qualquer link que termine em um “@[qualquer_coisa].zip” pode ser maligno. Existem algumas formas de esconder o @ no link, a única forma de pegar esses é copiando a URL e colando em um editor de texto simples. Alguns navegadores, como o Firefox e Librewolf, tem medidas embutidas para detectar esses tipos de truques.

Em outros casos, simplesmente a menção a um [arquivo].zip em um e-mail já gera um hyperlink que não tem nada a ver com qualquer anexo legítimo que a mensagem possa ter. Isso se aplica retroativamente, o que significa que em certos fóruns e redes sociais que se discutem vetores de ataques e mencionam “zip bombs” agora podem realmente levar para arquivos maliciosos.

Alguns casos mais improváveis porém ainda preocupantes são para pessoas que costumam usar linhas de comando ou o teclado para navegar pelos arquivos do computador. Se digitar o nome de um arquivo .zip que não existe, agora você será redirecionado para um site.

Bloquear os domínios é uma forma de se proteger

É frequentemente dito que a melhor proteção contra esses ataques é simplesmente conhecê-los, mas para quem tem algum computador que é utilizado por membros da família que podem ter menos familiaridade com computadores e tecnologia, ou até mesmo para empresas que querem evitar que funcionários inadvertidamente comprometam os sistemas, bloquear o domínio como um todo pode ser recomendado.

Don't have Defender for Endpoint? Don't have Intune? I got you fam 🙂

You can use NRPT rules in Windows to sinkhole undesirable TLDs too! ⚫

Add-DnsClientNrptRule -Namespace ".zip" -NameServers "127.0.0.1"

If you would prefer to use Group Policy, this should do it for you 🔥 https://t.co/Q77Kk2UDLX pic.twitter.com/NWm61NS40R

— Nathan McNulty (@NathanMcNulty) 17 de maio de 2023

Para quem tem Windows 10 Pro ou 11 Pro, simplesmente abrir um Powershell com privilégios de administrador e criar uma regra de redirecionamento é o suficiente. Dessa forma, mesmo que alguém clique ou acidentalmente digite a URL no navegador de arquivos, o acesso ao site é bloqueado antes de qualquer forma de ataque cibernético possa ocorrer.

Add-DnsClientNrptRule -Namespace ".zip" -NameServers "127.0.0.1"
Add-DnsClientNrptRule -Namespace ".mov" -NameServers "127.0.0.1"

Para outros sistemas operacionais, existem sistemas de DNS que também podem fazer isso. Porém, isso é uma alternativa paga que talvez seja um pouco exagerada para usuários comuns. De acordo com um uma pesquisa de experts em InfoSec, por enquanto o seu maior risco é justamente cair em algum Rick Roll. Mas sempre é bom não dar chance para o azar, especialmente por algo sem qualquer propósito prático como domínios “engraçados” que provavelmente não serão utilizados por nada importante pelo potencial risco que oferecem.