https://www.informationsecurity.com.tw/Seminar/2024_TCM/
https://www.informationsecurity.com.tw/Seminar/2024_TCM/

新聞

新型「線上檔案封存」釣魚工具可濫用ZIP 域名傳播惡意軟體

2023 / 05 / 29
編輯部
新型「線上檔案封存」釣魚工具可濫用ZIP 域名傳播惡意軟體
外媒報導,一種新型「瀏覽器檔案封存(File Archivers in the Browser)」釣魚工具被測試出可濫用ZIP網路域名,在瀏覽器中顯示虛假的WinRAR或Windows檔案管理視窗,以誘導使用者啟動惡意文件。
 
ZIP域名是由Google推出的8個新高級域名(TLD)之一,用戶可用於託管網站或電子郵件地址,如bleepingcomputer.zip。自該域名發佈以來,有許多網路安全風險討論,主要是部分網站可能會自動將以「.zip」結尾的字串(如setup.zip)變成一個可點擊的連結,從而被惡意軟體利用進行攻擊和傳播。

安全研究員mr.d0x開發了一個頗具欺騙性的釣魚工具包。該工具包可用於在打開 .zip 域名時直接在瀏覽器中嵌入一個偽造的 WinRar 視窗,讓使用者看起來就像打開了一個 ZIP 壓縮檔。
 
這個偽造的視窗效果十分逼真,甚至還包含虛假的安全掃描按鈕,點擊該按鈕後會顯示檔案已被掃描且未檢測到威脅。
 
雖然該工具包仍然顯示瀏覽器位址欄,但它仍然可能誘使一些用戶認為這是一個合法的 WinRar 壓縮檔。此外,利用 CSS 和 HTML 可以進一步完善該工具包。

濫用網路釣魚工具包

mr.d0x 認為,該網路釣魚工具包可用於憑證竊取和傳播惡意軟體。例如使用者在偽造的 WinRar 視窗中按兩下 PDF,可能會被重定向到另一個頁面,要求只有提供帳戶憑證才能查看檔案。

該工具包還可用於藉由顯示 PDF 檔來傳播惡意軟體,例如在偽造的存檔視窗可能會顯示 document.pdf 文件,但在點擊時卻是下載document.pdf.exe惡意軟體。由於 Windows 預設不顯示檔案的副檔名,使用者只會在他們的下載檔案夾中看到一個 PDF 檔並可能按兩下打開,不會意識到它是一個執行檔。

特別值得注意的是,Windows在搜索檔時,若沒有找到,就會試圖在瀏覽器中打開搜索到的字串。如果該字串是一個合法的功能變數名稱,那麼相應的網站將被打開。

顯而易見,如果註冊一個與普通檔案名相同的zip域名,並在Windows中搜索,作業系統將自動在瀏覽器中打開該網站。如果該網站託管了釣魚工具包,則可以欺騙用戶,誤導為WinRar顯示了真實的ZIP壓縮包。

這項技術說明了ZIP域名如何被濫用,進行網路釣魚攻擊。但只要使用者能夠增強安全意識,不點擊打開任何可疑檔,就能避免此類攻擊。

本文/圖轉載自BleepComputer。