提防利用 zip 域的新型网络钓鱼技术“浏览器中的文件归档器”

阅读量192367

发布时间 : 2023-06-01 16:59:16

“浏览器中的文件存档器”是一种新的网络钓鱼技术,当受害者访问 .ZIP 域时,网络钓鱼者可以利用该技术。当受害者访问 .ZIP 域时,网络钓鱼者可以使用一种称为“浏览器中的文件存档器”的新型网络钓鱼技术在 Web 浏览器中“模拟”文件存档器软件。安全研究员 mr.d0x 详细介绍了新的攻击技术。

 

2023 年 5 月,Google 推出了八个新的顶级域 (TLD),其中包括 .zip 和 .mov。安全专家对这些域的恶意使用提出警告。
要使用此技术进行攻击,攻击者需要通过 HTML/CSS 模拟文件存档软件。研究人员分享了两个样本,第一个模拟 WinRAR 文件存档实用程序,第二个模拟 Windows 11 文件资源管理器窗口。
研究人员使用了一个巧妙的技巧,如下图所示,他们在 WinRAR 样本中添加了一个“扫描”图标。当用户单击该图标时,会显示一个消息框,向他们保证文件是安全的,从而防止怀疑。
然后,研究人员将样本部署在可用于多种攻击场景的 .zip 域上,例如:
  • 将访问者重定向到创建的登录页面,以在单击文件时窃取受害者的凭据。

  • 通过提供带有伪装扩展名的可执行文件来欺骗访问者。当用户单击看似 .pdf 文件(例如“invoice.pdf”)时,它实际上下载了一个可执行文件

  • 研究人员指出,许多 Twitter 用户强调 Windows 文件资源管理器搜索栏是一种有效的交付方式。
    “有几个人在 Twitter 上指出,Windows 文件资源管理器搜索栏是一个很好的交付载体。如果用户搜索 mrd0x.zip 并且机器上不存在它,它会自动在浏览器中打开它。这非常适合这种情况,因为用户希望看到 ZIP 文件。” 阅读 mr.d0x 发表的分析。
    最近推出的 TLD 为攻击者提供了更多的网络钓鱼活动机会。了解这种攻击技术对于避免成为这些攻击的受害者至关重要。
    强烈建议组织对 .zip 和 .mov 域实施阻止措施,因为它们目前正被网络钓鱼者利用,预计恶意使用会进一步增加。
    “强烈建议组织阻止 .zip 和 .mov 域,因为它们已经被用于网络钓鱼,并且可能只会继续被越来越多地使用。” 专家总结道。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+18赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66