新的網絡釣魚攻擊濫用 .Zip 域，在瀏覽器中模擬偽造的 WinRAR

(相關資料圖)

谷歌最近發布了新的頂級域 ( TLD ) ，如 .dad、.phd、.mov 和 .zip，由于可能與文件擴展名（尤其是 .mov 和 .zip）混淆，引起了安全社區的關注。

一種新的釣魚工具包，" 瀏覽器中的文件壓縮器 ", 利用 ZIP 域名，在瀏覽器中呈現虛假的 WinRAR 或 Windows 文件管理器窗口，欺騙用戶執行惡意文件。

上周，安全研究人員 mr.d0x 揭示了一種釣魚攻擊，該攻擊涉及模擬基于瀏覽器的文件壓縮軟件，如 WinRAR，并使用 .zip 域名以提高其可信度。

攻擊如何運作

要執行這種攻擊，使用 HTML/CSS 模擬 WinRAR 文件壓縮工具，專家在 GitHub 上上傳了兩個樣本供公眾訪問。

另一個樣本模仿了 Windows 11 中的文件管理器窗口。

WinRAR 樣本包含一些裝飾性功能，例如生成確認文件安全的消息框的 " 掃描 " 圖標，從而增強網絡釣魚頁面的合法性。

該工具包可以在瀏覽器中嵌入偽造的 WinRar 窗口，從而在訪問 .zip 域時產生打開 ZIP 存檔并顯示其內容的錯覺。

在瀏覽器中，它看起來很完美，它彈出一個窗口，因為去掉了地址欄和滾動條，看起來像屏幕上的 WinRAR 窗口。

一個有趣的應用程序涉及列出一個不可執行的文件，當用戶點擊時，觸發下載一個可執行文件或任何期望的文件格式，例如 .exe，即使用戶期望下載 "invoice.pdf" 文件。

文件資源管理器搜索欄

幾位 Twitter 用戶指出，Windows 文件管理器的搜索欄是一種有效的傳輸方法，因為搜索不存在的文件，如 "mrd0x.zip", 會觸發瀏覽器自動打開，這與用戶遇到 ZIP 文件的期望完全相符。

用戶執行這種行為后，它會自動啟動包含文件壓縮模板的 .zip 域名，創建一個逼真的正版外觀。

引入新的頂級域 ( TLD ) 增加了攻擊者進行網絡釣魚的可能性，促使組織阻止 .zip 和 .mov 域，因為它們當前和預期的未來會被用于網絡釣魚活動。

隨著網絡犯罪分子越來越多地將反機器人和動態目錄等檢測規避功能納入其工具包，網絡釣魚攻擊變得越來越復雜。