安全公司Perception Point近日揭露,一種名為“ZIP串聯文件”的新型攻擊手段正被黑客用于針對Windows用戶進行攻擊。這種攻擊方式利用了ZIP文件的特性,通過合并多個ZIP壓縮包來隱藏惡意文件。
據了解,“ZIP串聯文件”在外觀上與普通壓縮文件無異,但實際上卻包含了多個中心目錄,每個目錄都指向不同的文件集合。這種復雜的結構使得部分壓縮軟件無法正確處理,僅顯示首個包文件的內容,從而實現了惡意文件的隱藏。
安全專家測試發現,7zip軟件在解壓這類文件時,只會顯示第一個ZIP文件的內容,并提示用戶文件末尾存在多余數據。而WinRAR則能夠完整地顯示所有串聯ZIP文件的內容,包括被隱藏的惡意文件。Windows自帶的文件資源管理器對這類文件的支持則較差,可能導致無法正確打開或僅顯示部分內容。
黑客利用這種技術,通過釣魚郵件等方式傳播偽裝成普通壓縮文件的惡意串聯ZIP文件。例如,在一起已知的攻擊中,黑客發送了一個名為“SHIPPING_INV_PL_BL_pdf.rar”的壓縮文件。盡管該文件擴展名為.rar,但實際上是通過ZIP文件串接技術制作的,意在誤導受害者。
當受害者使用不同的解壓軟件打開該文件時,所看到的內容也會有所不同。如果使用7zip,受害者可能只會看到一個普通的PDF文件,從而忽略了潛在的威脅。然而,如果使用WinRAR或Windows文件資源管理器,受害者則可能會看到并觸發隱藏的惡意可執行木馬文件,導致黑客成功入侵其設備。
