據(jù)BleepingComputer 5月28日消息，一種新型"瀏覽器文件壓縮包 "釣魚(yú)工具被試驗(yàn)出可濫用ZIP域名，在瀏覽器中顯示虛假的WinRAR或Windows文件資源管理器窗口，以誘導(dǎo)用戶(hù)啟動(dòng)惡意文件。

ZIP域名是本月由谷歌推出的8個(gè)新高級(jí)域名（TLD）之一，用戶(hù)可用于托管網(wǎng)站或電子郵件地址，如bleepingcomputer.zip。自該域名名發(fā)布以來(lái)，人們對(duì)它們是否可能給用戶(hù)帶來(lái)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行了相當(dāng)多的討論。

雖然一些專(zhuān)家認(rèn)為這種擔(dān)心被夸大，但主要可能存在的問(wèn)題是一些網(wǎng)站會(huì)自動(dòng)將以'.zip'結(jié)尾的字符串（如setup.zip）變成一個(gè)可點(diǎn)擊的鏈接，從而被惡意軟件利用進(jìn)行攻擊和傳播。

如今，安全研究員mr.d0x開(kāi)發(fā)了一個(gè)頗具欺騙性的釣魚(yú)工具包，在與 BleepingComputer 共享的演示中，該工具包可用于在打開(kāi) .zip 域時(shí)直接在瀏覽器中嵌入一個(gè)偽造的 WinRar 窗口，使用戶(hù)看起來(lái)就像打開(kāi)了一個(gè) ZIP 壓縮包。

這個(gè)偽造的窗口效果十分逼真，甚至還包含虛假的安全掃描按鈕，點(diǎn)擊該按鈕后會(huì)提示文件已被掃描且未檢測(cè)到威脅。

雖然該工具包仍然顯示瀏覽器地址欄，但它仍然可能誘使一些用戶(hù)認(rèn)為這是一個(gè)合法的 WinRar 壓縮文件。此外，利用 CSS 和 HTML 可以進(jìn)一步完善該工具包。

濫用網(wǎng)絡(luò)釣魚(yú)工具包

mr.d0x 認(rèn)為，該網(wǎng)絡(luò)釣魚(yú)工具包可用于憑證盜竊和傳播惡意軟件。例如用戶(hù)在偽造的 WinRar 窗口中雙擊 PDF，則可能會(huì)被重定向到另一個(gè)頁(yè)面，要求只有提供賬戶(hù)憑證才能查看文件。

該工具包還可用于通過(guò)顯示一個(gè) PDF 文件來(lái)傳播惡意軟件，該文件在單擊時(shí)會(huì)下載一個(gè)類(lèi)似名稱(chēng)的 .exe。例如在偽造的存檔窗口可能會(huì)顯示 document.pdf 文件，但在單擊時(shí)卻是下載document.pdf.exe惡意軟件。

由于 Windows 默認(rèn)不顯示文件擴(kuò)展名，用戶(hù)只會(huì)在他們的下載文件夾中看到一個(gè) PDF 文件并可能雙擊打開(kāi)，而不會(huì)意識(shí)到它是一個(gè)可執(zhí)行文件。

特別值得注意的是，Windows在搜索文件時(shí)，若沒(méi)有找到，就會(huì)試圖在瀏覽器中打開(kāi)搜索到的字符串。如果該字符串是一個(gè)合法的域名，那么相應(yīng)的網(wǎng)站將被打開(kāi)。

顯而易見(jiàn)，如果注冊(cè)一個(gè)與普通文件名相同的zip域名，如果用戶(hù)在Windows中進(jìn)行搜索，操作系統(tǒng)將自動(dòng)在瀏覽器中打開(kāi)該網(wǎng)站。如果該網(wǎng)站托管了 "瀏覽器中的文件歸檔器 "釣魚(yú)工具包，則可以欺騙用戶(hù)，使其認(rèn)為WinRar顯示了一個(gè)真實(shí)的的ZIP壓縮包。

這項(xiàng)技術(shù)說(shuō)明了ZIP域名如何被濫用以進(jìn)行網(wǎng)絡(luò)釣魚(yú)攻擊。但再怎么巧妙，只要用戶(hù)能夠增強(qiáng)安全意識(shí)，不點(diǎn)擊打開(kāi)任何可疑文件，就能避免此類(lèi)攻擊。