谷歌最近發布了新的頂級域 ( TLD ) ,如 .dad、.phd、.mov 和 .zip,由于可能與文件擴展名(尤其是 .mov 和 .zip)混淆,引起了安全社區的關注。
一種新的釣魚工具包," 浏覽器中的文件壓縮器 ", 利用 ZIP 域名,在浏覽器中呈現虛假的 WinRAR 或 Windows 文件管理器窗口,欺騙用戶執行惡意文件。
上周,安全研究人員 mr.d0x 揭示了一種釣魚攻擊,該攻擊涉及模拟基于浏覽器的文件壓縮軟件,如 WinRAR,并使用 .zip 域名以提高其可信度。
攻擊如何運作
要執行這種攻擊,使用 HTML/CSS 模拟 WinRAR 文件壓縮工具,專家在 GitHub 上上傳了兩個樣本供公衆訪問。
另一個樣本模仿了 Windows 11 中的文件管理器窗口。
WinRAR 樣本包含一些裝飾性功能,例如生成确認文件安全的消息框的 " 掃描 " 圖标,從而增強網絡釣魚頁面的合法性。
該工具包可以在浏覽器中嵌入僞造的 WinRar 窗口,從而在訪問 .zip 域時産生打開 ZIP 存檔并顯示其内容的錯覺。
在浏覽器中,它看起來很完美,它彈出一個窗口,因爲去掉了地址欄和滾動條,看起來像屏幕上的 WinRAR 窗口。
一個有趣的應用程序涉及列出一個不可執行的文件,當用戶點擊時,觸發下載一個可執行文件或任何期望的文件格式,例如 .exe,即使用戶期望下載 "invoice.pdf" 文件。
文件資源管理器搜索欄
幾位 Twitter 用戶指出,Windows 文件管理器的搜索欄是一種有效的傳輸方法,因爲搜索不存在的文件,如 "mrd0x.zip", 會觸發浏覽器自動打開,這與用戶遇到 ZIP 文件的期望完全相符。
用戶執行這種行爲後,它會自動啓動包含文件壓縮模闆的 .zip 域名,創建一個逼真的正版外觀。
引入新的頂級域 ( TLD ) 增加了攻擊者進行網絡釣魚的可能性,促使組織阻止 .zip 和 .mov 域,因爲它們當前和預期的未來會被用于網絡釣魚活動。
随着網絡犯罪分子越來越多地将反機器人和動态目錄等檢測規避功能納入其工具包,網絡釣魚攻擊變得越來越複雜。
