新的网络钓鱼攻击滥用 .Zip 域,在浏览器中模拟伪造的 WinRAR
谷歌最近发布了新的顶级域(TLD),如.dad、.phd、.mov和.zip,由于可能与文件扩展名(尤其是.mov和.zip)混淆,引起了安全社区的关注。
一种新的钓鱼工具包,“浏览器中的文件压缩器”,利用ZIP域名,在浏览器中呈现虚假的WinRAR或Windows文件管理器窗口,欺骗用户执行恶意文件。
上周,安全研究人员mr.d0x揭示了一种钓鱼攻击,该攻击涉及模拟基于浏览器的文件压缩软件,如WinRAR,并使用.zip域名以提高其可信度。
攻击如何运作
要执行这种攻击,使用HTML/CSS模拟WinRAR文件压缩工具,专家在GitHub上上传了两个样本供公众访问。
另一个样本模仿了Windows 11中的文件管理器窗口。
WinRAR样本包含一些装饰性功能,例如生成确认文件安全的消息框的“扫描”图标,从而增强网络钓鱼页面的合法性。
该工具包可以在浏览器中嵌入伪造的WinRar窗口,从而在访问.zip域时产生打开ZIP存档并显示其内容的错觉。
在浏览器中,它看起来很完美,它弹出一个窗口,因为去掉了地址栏和滚动条,看起来像屏幕上的WinRAR窗口。
一个有趣的应用程序涉及列出一个不可执行的文件,当用户点击时,触发下载一个可执行文件或任何期望的文件格式,例如.exe,即使用户期望下载“invoice.pdf”文件。
文件资源管理器搜索栏
几位Twitter用户指出,Windows文件管理器的搜索栏是一种有效的传输方法,因为搜索不存在的文件,如“mrd0x.zip”,会触发浏览器自动打开,这与用户遇到ZIP文件的期望完全相符。
用户执行这种行为后,它会自动启动包含文件压缩模板的.zip域名,创建一个逼真的正版外观。
引入新的顶级域(TLD)增加了攻击者进行网络钓鱼的可能性,促使组织阻止.zip和.mov域,因为它们当前和预期的未来会被用于网络钓鱼活动。
随着网络犯罪分子越来越多地将反机器人和动态目录等检测规避功能纳入其工具包,网络钓鱼攻击变得越来越复杂。
