據(jù)BleepingComputer 5月28日消息，一種新型"瀏覽器文件壓縮包 "釣魚工具被試驗出可濫用ZIP域名，在瀏覽器中顯示虛假的WinRAR或Windows文件資源管理器窗口，以誘導(dǎo)用戶啟動惡意文件。

ZIP域名是本月由谷歌推出的8個新高級域名（TLD）之一，用戶可用于托管網(wǎng)站或電子郵件地址，如bleepingcomputer.zip。自該域名名發(fā)布以來，人們對它們是否可能給用戶帶來網(wǎng)絡(luò)安全風(fēng)險進行了相當多的討論。

雖然一些專家認為這種擔心被夸大，但主要可能存在的問題是一些網(wǎng)站會自動將以'.zip'結(jié)尾的字符串（如setup.zip）變成一個可點擊的鏈接，從而被惡意軟件利用進行攻擊和傳播。

如今，安全研究員mr.d0x開發(fā)了一個頗具欺騙性的釣魚工具包，在與 BleepingComputer 共享的演示中，該工具包可用于在打開 .zip 域時直接在瀏覽器中嵌入一個偽造的 WinRar 窗口，使用戶看起來就像打開了一個 ZIP 壓縮包。

這個偽造的窗口效果十分逼真，甚至還包含虛假的安全掃描按鈕，點擊該按鈕后會提示文件已被掃描且未檢測到威脅。

雖然該工具包仍然顯示瀏覽器地址欄，但它仍然可能誘使一些用戶認為這是一個合法的 WinRar 壓縮文件。此外，利用 CSS 和 HTML 可以進一步完善該工具包。

濫用網(wǎng)絡(luò)釣魚工具包

mr.d0x 認為，該網(wǎng)絡(luò)釣魚工具包可用于憑證盜竊和傳播惡意軟件。例如用戶在偽造的 WinRar 窗口中雙擊 PDF，則可能會被重定向到另一個頁面，要求只有提供賬戶憑證才能查看文件。

該工具包還可用于通過顯示一個 PDF 文件來傳播惡意軟件，該文件在單擊時會下載一個類似名稱的 .exe。例如在偽造的存檔窗口可能會顯示 document.pdf 文件，但在單擊時卻是下載document.pdf.exe惡意軟件。

由于 Windows 默認不顯示文件擴展名，用戶只會在他們的下載文件夾中看到一個 PDF 文件并可能雙擊打開，而不會意識到它是一個可執(zhí)行文件。

特別值得注意的是，Windows在搜索文件時，若沒有找到，就會試圖在瀏覽器中打開搜索到的字符串。如果該字符串是一個合法的域名，那么相應(yīng)的網(wǎng)站將被打開。

顯而易見，如果注冊一個與普通文件名相同的zip域名，如果用戶在Windows中進行搜索，操作系統(tǒng)將自動在瀏覽器中打開該網(wǎng)站。如果該網(wǎng)站托管了 "瀏覽器中的文件歸檔器 "釣魚工具包，則可以欺騙用戶，使其認為WinRar顯示了一個真實的的ZIP壓縮包。

這項技術(shù)說明了ZIP域名如何被濫用以進行網(wǎng)絡(luò)釣魚攻擊。但再怎么巧妙，只要用戶能夠增強安全意識，不點擊打開任何可疑文件，就能避免此類攻擊。