0
点赞
收藏
分享

微信扫一扫

不要点击那个ZIP文件! 钓鱼者利用.ZIP域名来欺骗受害者

一种名为 "浏览器中的文件存档器 "的新的网络钓鱼技术可以被利用,当受害者访问一个.ZIP域时,在网络浏览器中 "模拟 "一个文件存档器软件。

"安全研究员mr.d0x上周披露:"通过这种网络钓鱼攻击,你在浏览器中模拟一个文件存档软件(例如WinRAR),并使用一个.zip域名,使其看起来更合法。

简而言之,威胁者可以使用HTML和CSS创建一个外观逼真的钓鱼登陆页面,模仿合法的文件存档软件,并将其托管在一个.zip域名上,从而提升社会工程活动。

在一个潜在的攻击场景中,当点击假ZIP档案中 "包含 "的文件时,不法分子可以采用这种伎俩将用户重定向到一个凭证收获页面。

"mr.d0x指出:"另一个有趣的用例是列出一个非可执行文件,当用户点击启动下载时,它下载了一个可执行文件。"比方说,你有一个'发票.pdf'文件。当用户点击这个文件时,它将启动一个.exe或任何其他文件的下载。"

除此之外,Windows文件资源管理器中的搜索栏可以作为一个偷偷摸摸的渠道出现,如果文件名与合法的.zip域名相对应,搜索一个不存在的.ZIP文件可以直接在网络浏览器中打开它。

"研究人员说:"这对这种情况是完美的,因为用户会期望看到一个ZIP文件。"一旦用户执行了这个操作,它就会自动启动具有文件存档模板的.zip域名,显得相当合法。"

这一发展是在谷歌推出包括".zip "和".mov "在内的八个新的顶级域名(TLD)时出现的,这引起了一些担忧,认为它可能招致网络钓鱼和其他类型的在线诈骗。

这是因为.ZIP和.MOV都是合法的文件扩展名,可能会混淆毫无戒心的用户,让他们访问一个恶意网站,而不是打开一个文件,欺骗他们意外下载恶意软件。

"趋势科技说:"ZIP文件经常被用作攻击链初始阶段的一部分,通常是在用户访问恶意网址或打开电子邮件附件后被下载。

"除了ZIP档案被用作有效载荷外,随着.zip顶级域名的引入,恶意行为者也可能使用与ZIP相关的URL下载恶意软件。"

虽然人们对域名和文件名之间的混淆所带来的风险反应不一,但预计它将为恶意行为者提供另一个网络钓鱼的载体。

这一发现还因为网络安全公司Group-IB表示,与前一年相比,它在2022年检测到的网络钓鱼工具包的使用激增了25%,确定了3677个独特的工具包。

特别值得关注的是,使用Telegram收集被盗数据的趋势有所上升,从2021年的5.6%上升到2022年的9.4%,几乎翻了一番。

这还不是全部。网络钓鱼攻击也变得更加复杂,网络犯罪分子越来越专注于用检测规避能力来包装工具包,如使用反机器人和动态目录。

"总部设在新加坡的公司说:"网络钓鱼运营商创建了随机的网站文件夹,这些文件夹只有个性化的网络钓鱼网址的接收者才能访问,没有最初的链接就无法访问。

"这种技术使钓鱼者能够躲避检测和黑名单,因为钓鱼内容不会暴露自己"。

根据Perception Point的一份新报告,2022年威胁者试图进行的高级网络钓鱼攻击的数量增加了356%。在这一年中,攻击的总数增加了87%。

这种网络钓鱼计划的持续演变体现在新一轮的攻击中,这些攻击被观察到利用受损的微软365账户和受限许可信息(.rpmsg)加密的电子邮件来获取用户的凭证。

"Trustwave研究人员Phil Hay和Rodel Mendrez解释说:"使用加密的.rpmsg消息意味着消息中的钓鱼内容,包括URL链接,都被隐藏在电子邮件扫描网关之外。

Proofpoint强调的另一个例子涉及到可能滥用微软团队的合法功能来促进网络钓鱼和恶意软件的交付,包括通过API调用将默认URL替换为恶意链接来利用会议邀请。

"该企业安全公司指出:"攻击者可以利用一种不同的方法,只要能够访问用户的Teams令牌,就可以利用Teams的API或用户界面,将发送的信息中的现有链接武器化。

"这可以通过简单地用指向邪恶网站或恶意资源的链接替换良性链接来实现。"

声明:本文相关资讯来自Thehackernews,版权归作者所有,转载目的在于传递更多信息。如有侵权,请联系本站删除。


举报

相关推荐

0 条评论