據BleepingComputer 5月28日消息,一種新型"瀏覽器文件壓縮包 "釣魚工具被試驗出可濫用ZIP域名���,在瀏覽器中顯示虛假的WinRAR或Windows文件資源管理器窗口�����,以誘導用戶啟動惡意文件����。
ZIP域名是本月由谷歌推出的8個新高級域名(TLD)之一�����,用戶可用于托管網站或電子郵件地址��,如bleepingcomputer.zip�����。自該域名名發(fā)布以來����,人們對它們是否可能給用戶帶來網絡安全風險進行了相當多的討論。
雖然一些專家認為這種擔心被夸大��,但主要可能存在的問題是一些網站會自動將以".zip"結尾的字符串(如setup.zip)變成一個可點擊的鏈接��,從而被惡意軟件利用進行攻擊和傳播。
(資料圖)
如今�����,安全研究員mr.d0x開發(fā)了一個頗具欺騙性的釣魚工具包���,在與 BleepingComputer 共享的演示中,該工具包可用于在打開 .zip 域時直接在瀏覽器中嵌入一個偽造的 WinRar 窗口���,使用戶看起來就像打開了一個 ZIP 壓縮包�。
這個偽造的窗口效果十分逼真�,甚至還包含虛假的安全掃描按鈕,點擊該按鈕后會提示文件已被掃描且未檢測到威脅�。
雖然該工具包仍然顯示瀏覽器地址欄,但它仍然可能誘使一些用戶認為這是一個合法的 WinRar 壓縮文件����。此外,利用 CSS 和 HTML 可以進一步完善該工具包�。
濫用網絡釣魚工具包
mr.d0x 認為,該網絡釣魚工具包可用于憑證盜竊和傳播惡意軟件�。例如用戶在偽造的 WinRar 窗口中雙擊 PDF,則可能會被重定向到另一個頁面��,要求只有提供賬戶憑證才能查看文件。
該工具包還可用于通過顯示一個 PDF 文件來傳播惡意軟件�����,該文件在單擊時會下載一個類似名稱的 .exe����。例如在偽造的存檔窗口可能會顯示 document.pdf 文件,但在單擊時卻是下載document.pdf.exe惡意軟件�����。
由于 Windows 默認不顯示文件擴展名����,用戶只會在他們的下載文件夾中看到一個 PDF 文件并可能雙擊打開,而不會意識到它是一個可執(zhí)行文件���。
特別值得注意的是����,Windows在搜索文件時�����,若沒有找到,就會試圖在瀏覽器中打開搜索到的字符串����。如果該字符串是一個合法的域名,那么相應的網站將被打開���。
顯而易見����,如果注冊一個與普通文件名相同的zip域名�,如果用戶在Windows中進行搜索�����,操作系統(tǒng)將自動在瀏覽器中打開該網站��。如果該網站托管了 "瀏覽器中的文件歸檔器 "釣魚工具包���,則可以欺騙用戶���,使其認為WinRar顯示了一個真實的的ZIP壓縮包。
這項技術說明了ZIP域名如何被濫用以進行網絡釣魚攻擊�。但再怎么巧妙,只要用戶能夠增強安全意識,不點擊打開任何可疑文件����,就能避免此類攻擊。
