今天小编分享的科技经验:新的网络钓鱼攻击滥用 .Zip 網域,在浏览器中模拟伪造的 WinRAR,欢迎阅读。
谷歌最近发布了新的顶级網域 ( TLD ) ,如 .dad、.phd、.mov 和 .zip,由于可能与檔案扩展名(尤其是 .mov 和 .zip)混淆,引起了安全社区的关注。
一种新的钓鱼工具包," 浏览器中的檔案压缩器 ", 利用 ZIP 網域名,在浏览器中呈现虚假的 WinRAR 或 Windows 檔案管理器視窗,欺骗用户执行恶意檔案。
上周,安全研究人员 mr.d0x 揭示了一种钓鱼攻击,该攻击涉及模拟基于浏览器的檔案压缩軟體,如 WinRAR,并使用 .zip 網域名以提高其可信度。
攻击如何运作
要执行这种攻击,使用 HTML/CSS 模拟 WinRAR 檔案压缩工具,专家在 GitHub 上上传了两个样本供公众访问。
另一个样本模仿了 Windows 11 中的檔案管理器視窗。
WinRAR 样本包含一些装饰性功能,例如生成确认檔案安全的消息框的 " 扫描 " 圖示,从而增强网络钓鱼页面的合法性。
该工具包可以在浏览器中嵌入伪造的 WinRar 視窗,从而在访问 .zip 網域时产生打开 ZIP 存档并显示其内容的错觉。
在浏览器中,它看起来很完美,它弹出一个視窗,因为去掉了地址栏和滚动条,看起来像螢幕上的 WinRAR 視窗。
一个有趣的应用程式涉及列出一个不可执行的檔案,当用户点击时,触发下载一个可执行檔案或任何期望的檔案格式,例如 .exe,即使用户期望下载 "invoice.pdf" 檔案。
檔案资源管理器搜索栏
几位 Twitter 用户指出,Windows 檔案管理器的搜索栏是一种有效的传输方法,因为搜索不存在的檔案,如 "mrd0x.zip", 会触发浏览器自动打开,这与用户遇到 ZIP 檔案的期望完全相符。
用户执行这种行为后,它会自动启动包含檔案压缩模板的 .zip 網域名,创建一个逼真的正版外观。
引入新的顶级網域 ( TLD ) 增加了攻击者进行网络钓鱼的可能性,促使组织阻止 .zip 和 .mov 網域,因为它们当前和预期的未来会被用于网络钓鱼活动。
随着网络犯罪分子越来越多地将反机器人和动态目录等检测规避功能纳入其工具包,网络钓鱼攻击变得越来越复杂。
