看似“普通”壓縮包實則隱藏惡意木馬，安全公司曝光黑客利用“ZIP 串聯(lián)文件”發(fā)動攻擊

IT之家 11 月 12 日消息，安全公司 Perception Point 報道，有黑客正在利用一種被稱為“ZIP 串聯(lián)文件”的復(fù)雜規(guī)避策略針對 Windows 用戶發(fā)動攻擊。

IT之家獲悉，所謂“ZIP 串聯(lián)文件”是指黑客將多個 ZIP 壓縮文件合并為一個壓縮包，雖然相關(guān)文件看起來和標(biāo)準(zhǔn)壓縮包無異，但其實際上包含多個中心目錄，每個目錄指向不同的文件集，部分壓縮軟件實際上無法處理這種文件包，只會顯示首個包文件中的內(nèi)容，從而能夠起到“隱藏”惡意文件效果，為黑客提供了可乘之機。

• 7zip：僅顯示壓縮包中的第一個 ZIP 文件內(nèi)容，不過會提示用戶文件末尾有多余數(shù)據(jù)；

• WinRAR：能夠完整顯示所有串接 ZIP 文件的內(nèi)容，包括隱藏的惡意文件；

• Windows 文件資源管理器：對串接 ZIP 文件的支持較差，可能無法正確打開文件或僅顯示部分內(nèi)容。

安全公司表示，在其最近獲悉的一起攻擊中，黑客通過釣魚郵件傳播一項名為 SHIPPING_INV_PL_BL_pdf.rar 的壓縮文件。該文件偽裝成普通壓縮包，但實際上是通過 ZIP 文件串接技術(shù)制作的壓縮文件，黑客還故意將文件擴展名改為 **.rar**，誤導(dǎo)受害者以為是 RAR 格式文件。

如果受害者使用 7zip 解壓該文件，僅能看到一個普通的 PDF 文件；而使用 WinRAR 或 Windows 文件資源管理器的用戶，則可能會看到隱藏的惡意可執(zhí)行木馬文件，如果受害者觸發(fā)相關(guān)木馬文件，便能夠?qū)е潞诳腿肭钟脩粼O(shè)備。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。