新的網(wǎng)絡(luò)釣魚攻擊濫用 .Zip 域，在瀏覽器中模擬偽造的 WinRAR

(相關(guān)資料圖)

谷歌最近發(fā)布了新的頂級域 ( TLD ) ，如 .dad、.phd、.mov 和 .zip，由于可能與文件擴(kuò)展名（尤其是 .mov 和 .zip）混淆，引起了安全社區(qū)的關(guān)注。

一種新的釣魚工具包，" 瀏覽器中的文件壓縮器 ", 利用 ZIP 域名，在瀏覽器中呈現(xiàn)虛假的 WinRAR 或 Windows 文件管理器窗口，欺騙用戶執(zhí)行惡意文件。

上周，安全研究人員 mr.d0x 揭示了一種釣魚攻擊，該攻擊涉及模擬基于瀏覽器的文件壓縮軟件，如 WinRAR，并使用 .zip 域名以提高其可信度。

攻擊如何運作

要執(zhí)行這種攻擊，使用 HTML/CSS 模擬 WinRAR 文件壓縮工具，專家在 GitHub 上上傳了兩個樣本供公眾訪問。

另一個樣本模仿了 Windows 11 中的文件管理器窗口。

WinRAR 樣本包含一些裝飾性功能，例如生成確認(rèn)文件安全的消息框的 " 掃描 " 圖標(biāo)，從而增強網(wǎng)絡(luò)釣魚頁面的合法性。

該工具包可以在瀏覽器中嵌入偽造的 WinRar 窗口，從而在訪問 .zip 域時產(chǎn)生打開 ZIP 存檔并顯示其內(nèi)容的錯覺。

在瀏覽器中，它看起來很完美，它彈出一個窗口，因為去掉了地址欄和滾動條，看起來像屏幕上的 WinRAR 窗口。

一個有趣的應(yīng)用程序涉及列出一個不可執(zhí)行的文件，當(dāng)用戶點擊時，觸發(fā)下載一個可執(zhí)行文件或任何期望的文件格式，例如 .exe，即使用戶期望下載 "invoice.pdf" 文件。

文件資源管理器搜索欄

幾位 Twitter 用戶指出，Windows 文件管理器的搜索欄是一種有效的傳輸方法，因為搜索不存在的文件，如 "mrd0x.zip", 會觸發(fā)瀏覽器自動打開，這與用戶遇到 ZIP 文件的期望完全相符。

用戶執(zhí)行這種行為后，它會自動啟動包含文件壓縮模板的 .zip 域名，創(chuàng)建一個逼真的正版外觀。

引入新的頂級域 ( TLD ) 增加了攻擊者進(jìn)行網(wǎng)絡(luò)釣魚的可能性，促使組織阻止 .zip 和 .mov 域，因為它們當(dāng)前和預(yù)期的未來會被用于網(wǎng)絡(luò)釣魚活動。

隨著網(wǎng)絡(luò)犯罪分子越來越多地將反機器人和動態(tài)目錄等檢測規(guī)避功能納入其工具包，網(wǎng)絡(luò)釣魚攻擊變得越來越復(fù)雜。