谷歌最近发布了新的顶级域 (TLD),如 .dad、.phd、.mov 和 .zip,由于可能与文件扩展名(尤其是 .mov 和 .zip)混淆,引起了安全社区的关注。
一种新的钓鱼工具包,“浏览器中的文件压缩器”,利用 ZIP 域名,在浏览器中呈现虚假的 WinRAR 或 Windows 文件管理器窗口,欺骗用户执行恶意文件。
上周,安全研究人员 mr.d0x 揭示了一种钓鱼攻击,该攻击涉及模拟基于浏览器的文件压缩软件,如 WinRAR,并使用.zip 域名以提高其可信度。
要执行这种攻击,使用 HTML/CSS 模拟 WinRAR 文件压缩工具,专家在 GitHub 上上传了两个样本供公众访问。
另一个样本模仿了 Windows 11 中的文件管理器窗口。
WinRAR 样本包含一些装饰性功能,例如生成确认文件安全的消息框的“扫描”图标,从而增强网络钓鱼页面的合法性。
该工具包可以在浏览器中嵌入伪造的 WinRar 窗口,从而在访问 .zip 域时产生打开 ZIP 存档并显示其内容的错觉。
在浏览器中,它看起来很完美,它弹出一个窗口,因为去掉了地址栏和滚动条,看起来像屏幕上的 WinRAR 窗口。
一个有趣的应用程序涉及列出一个不可执行的文件,当用户点击时,触发下载一个可执行文件或任何期望的文件格式,例如 .exe,即使用户期望下载“invoice.pdf”文件。
几位 Twitter 用户指出,Windows 文件管理器的搜索栏是一种有效的传输方法,因为搜索不存在的文件,如“mrd0x.zip”,会触发浏览器自动打开,这与用户遇到 ZIP 文件的期望完全相符。
用户执行这种行为后,它会自动启动包含文件压缩模板的.zip 域名,创建一个逼真的正版外观。
引入新的顶级域 (TLD)增加了攻击者进行网络钓鱼的可能性,促使组织阻止 .zip 和 .mov 域,因为它们当前和预期的未来会被用于网络钓鱼活动。
随着网络犯罪分子越来越多地将反机器人和动态目录等检测规避功能纳入其工具包,网络钓鱼攻击变得越来越复杂。
参考及来源:https://gbhackers.com/phishing-attack-abuses-zip/