由此研究人员推断，ZIP文件是经过特殊设计的，才会包含两个存档结构。

第一个ZIP结构使用一个order.jpg文件做诱饵，它只是一个无害的图像文件。但是，第二个ZIP结构包含一个名为SHIPPING_MX00034900_PL_INV_pdf.exe的文件，它实际上是一个远程访问木马（RAT）。

而攻击者这么做的目的则是为了绕过电子邮件的安全网关，使其只能看到作为诱饵的图像文件。

此外，研究人员发现，使用不同的应用程序解压ZIP文件时，会出现不同的结果，这也就表明每个解压软件对ZIP的处理方式有所不同。

例如，使用Windows内置的ZIP解压程序会显示ZIP文件无效，因此并不会提取该恶意软件。

使用7-Zip进行测试时，它会提醒我们ZIP文件存在问题，但依然能够提取文件，只不过提取出来的只有jpg图像文件。

在使用WinRAR提取文件时，并未发出警告，同时还提取出了恶意软件。

* 本文由看雪编辑 LYA 编译自 Bleeping Computer，转载请注明来源及作者。

* 原文链接：

https://www.bleepingcomputer.com/news/security/specially-crafted-zip-files-used-to-bypass-secure-email-gateways/

推荐文章++++

* 危险！仅用一束激光就能远程控制语音助手，打开你的家门

* 谷歌发布11月Android安全补丁：共修复38处漏洞

* 警方破获超大DDoS黑产案，20万个僵尸网络运营商被抓

* 冒充安恒信息对看雪论坛的一次定向钓鱼攻击

* 黑客利用Windows BlueKeep挖矿，RDP攻击再次来袭

﹀

﹀

﹀

公众号ID：ikanxue

官方微博：看雪安全

商务合作：[email protected]

戳“阅读原文”一起来充电吧！