安全公司Perception Point近日揭露,一種名為“ZIP串聯(lián)文件”的新型攻擊手段正被黑客用于針對Windows用戶進(jìn)行攻擊。這種攻擊方式利用了ZIP文件的特性,通過合并多個ZIP壓縮包來隱藏惡意文件。
據(jù)了解,“ZIP串聯(lián)文件”在外觀上與普通壓縮文件無異,但實(shí)際上卻包含了多個中心目錄,每個目錄都指向不同的文件集合。這種復(fù)雜的結(jié)構(gòu)使得部分壓縮軟件無法正確處理,僅顯示首個包文件的內(nèi)容,從而實(shí)現(xiàn)了惡意文件的隱藏。
安全專家測試發(fā)現(xiàn),7zip軟件在解壓這類文件時,只會顯示第一個ZIP文件的內(nèi)容,并提示用戶文件末尾存在多余數(shù)據(jù)。而WinRAR則能夠完整地顯示所有串聯(lián)ZIP文件的內(nèi)容,包括被隱藏的惡意文件。Windows自帶的文件資源管理器對這類文件的支持則較差,可能導(dǎo)致無法正確打開或僅顯示部分內(nèi)容。
黑客利用這種技術(shù),通過釣魚郵件等方式傳播偽裝成普通壓縮文件的惡意串聯(lián)ZIP文件。例如,在一起已知的攻擊中,黑客發(fā)送了一個名為“SHIPPING_INV_PL_BL_pdf.rar”的壓縮文件。盡管該文件擴(kuò)展名為.rar,但實(shí)際上是通過ZIP文件串接技術(shù)制作的,意在誤導(dǎo)受害者。
當(dāng)受害者使用不同的解壓軟件打開該文件時,所看到的內(nèi)容也會有所不同。如果使用7zip,受害者可能只會看到一個普通的PDF文件,從而忽略了潛在的威脅。然而,如果使用WinRAR或Windows文件資源管理器,受害者則可能會看到并觸發(fā)隱藏的惡意可執(zhí)行木馬文件,導(dǎo)致黑客成功入侵其設(shè)備。
