今天小編分享的科技經驗:新的網絡釣魚攻擊濫用 .Zip 網域,在浏覽器中模拟偽造的 WinRAR,歡迎閲讀。
谷歌最近發布了新的頂級網域 ( TLD ) ,如 .dad、.phd、.mov 和 .zip,由于可能與檔案擴展名(尤其是 .mov 和 .zip)混淆,引起了安全社區的關注。
一種新的釣魚工具包," 浏覽器中的檔案壓縮器 ", 利用 ZIP 網域名,在浏覽器中呈現虛假的 WinRAR 或 Windows 檔案管理器視窗,欺騙用户執行惡意檔案。
上周,安全研究人員 mr.d0x 揭示了一種釣魚攻擊,該攻擊涉及模拟基于浏覽器的檔案壓縮軟體,如 WinRAR,并使用 .zip 網域名以提高其可信度。
攻擊如何運作
要執行這種攻擊,使用 HTML/CSS 模拟 WinRAR 檔案壓縮工具,專家在 GitHub 上上傳了兩個樣本供公眾訪問。
另一個樣本模仿了 Windows 11 中的檔案管理器視窗。
WinRAR 樣本包含一些裝飾性功能,例如生成确認檔案安全的消息框的 " 掃描 " 圖示,從而增強網絡釣魚頁面的合法性。
該工具包可以在浏覽器中嵌入偽造的 WinRar 視窗,從而在訪問 .zip 網域時產生打開 ZIP 存檔并顯示其内容的錯覺。
在浏覽器中,它看起來很完美,它彈出一個視窗,因為去掉了地址欄和滾動條,看起來像螢幕上的 WinRAR 視窗。
一個有趣的應用程式涉及列出一個不可執行的檔案,當用户點擊時,觸發下載一個可執行檔案或任何期望的檔案格式,例如 .exe,即使用户期望下載 "invoice.pdf" 檔案。
檔案資源管理器搜索欄
幾位 Twitter 用户指出,Windows 檔案管理器的搜索欄是一種有效的傳輸方法,因為搜索不存在的檔案,如 "mrd0x.zip", 會觸發浏覽器自動打開,這與用户遇到 ZIP 檔案的期望完全相符。
用户執行這種行為後,它會自動啓動包含檔案壓縮模板的 .zip 網域名,創建一個逼真的正版外觀。
引入新的頂級網域 ( TLD ) 增加了攻擊者進行網絡釣魚的可能性,促使組織阻止 .zip 和 .mov 網域,因為它們當前和預期的未來會被用于網絡釣魚活動。
随着網絡犯罪分子越來越多地将反機器人和動态目錄等檢測規避功能納入其工具包,網絡釣魚攻擊變得越來越復雜。
