據(jù)BleepingComputer 5月28日消息�,一種新型"瀏覽器文件壓縮包 "釣魚工具被試驗(yàn)出可濫用ZIP域名���,在瀏覽器中顯示虛假的WinRAR或Windows文件資源管理器窗口,以誘導(dǎo)用戶啟動(dòng)惡意文件�。
ZIP域名是本月由谷歌推出的8個(gè)新高級(jí)域名(TLD)之一���,用戶可用于托管網(wǎng)站或電子郵件地址����,如bleepingcomputer.zip�。自該域名名發(fā)布以來(lái),人們對(duì)它們是否可能給用戶帶來(lái)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行了相當(dāng)多的討論��。
雖然一些專家認(rèn)為這種擔(dān)心被夸大����,但主要可能存在的問(wèn)題是一些網(wǎng)站會(huì)自動(dòng)將以".zip"結(jié)尾的字符串(如setup.zip)變成一個(gè)可點(diǎn)擊的鏈接,從而被惡意軟件利用進(jìn)行攻擊和傳播��。
(資料圖)
如今�����,安全研究員mr.d0x開發(fā)了一個(gè)頗具欺騙性的釣魚工具包���,在與 BleepingComputer 共享的演示中�,該工具包可用于在打開 .zip 域時(shí)直接在瀏覽器中嵌入一個(gè)偽造的 WinRar 窗口,使用戶看起來(lái)就像打開了一個(gè) ZIP 壓縮包����。
這個(gè)偽造的窗口效果十分逼真,甚至還包含虛假的安全掃描按鈕���,點(diǎn)擊該按鈕后會(huì)提示文件已被掃描且未檢測(cè)到威脅����。
雖然該工具包仍然顯示瀏覽器地址欄�,但它仍然可能誘使一些用戶認(rèn)為這是一個(gè)合法的 WinRar 壓縮文件。此外��,利用 CSS 和 HTML 可以進(jìn)一步完善該工具包����。
濫用網(wǎng)絡(luò)釣魚工具包
mr.d0x 認(rèn)為,該網(wǎng)絡(luò)釣魚工具包可用于憑證盜竊和傳播惡意軟件��。例如用戶在偽造的 WinRar 窗口中雙擊 PDF�,則可能會(huì)被重定向到另一個(gè)頁(yè)面,要求只有提供賬戶憑證才能查看文件����。
該工具包還可用于通過(guò)顯示一個(gè) PDF 文件來(lái)傳播惡意軟件�����,該文件在單擊時(shí)會(huì)下載一個(gè)類似名稱的 .exe。例如在偽造的存檔窗口可能會(huì)顯示 document.pdf 文件����,但在單擊時(shí)卻是下載document.pdf.exe惡意軟件。
由于 Windows 默認(rèn)不顯示文件擴(kuò)展名����,用戶只會(huì)在他們的下載文件夾中看到一個(gè) PDF 文件并可能雙擊打開,而不會(huì)意識(shí)到它是一個(gè)可執(zhí)行文件����。
特別值得注意的是,Windows在搜索文件時(shí)����,若沒(méi)有找到,就會(huì)試圖在瀏覽器中打開搜索到的字符串����。如果該字符串是一個(gè)合法的域名��,那么相應(yīng)的網(wǎng)站將被打開��。
顯而易見(jiàn)��,如果注冊(cè)一個(gè)與普通文件名相同的zip域名���,如果用戶在Windows中進(jìn)行搜索,操作系統(tǒng)將自動(dòng)在瀏覽器中打開該網(wǎng)站��。如果該網(wǎng)站托管了 "瀏覽器中的文件歸檔器 "釣魚工具包����,則可以欺騙用戶,使其認(rèn)為WinRar顯示了一個(gè)真實(shí)的的ZIP壓縮包��。
這項(xiàng)技術(shù)說(shuō)明了ZIP域名如何被濫用以進(jìn)行網(wǎng)絡(luò)釣魚攻擊����。但再怎么巧妙,只要用戶能夠增強(qiáng)安全意識(shí)��,不點(diǎn)擊打開任何可疑文件���,就能避免此類攻擊����。
