攻击者持续寻找新手段逃避资安防护，而资安公司Perception Point警示，近期兴起的ZIP文件串接技术（ZIP Concatenation）正在被攻击者积极滥用，用于规避安全检测。资安研究人员揭露近期一起利用该技术的攻击事件，钓鱼邮件中附有名为SHIPPING_INV_PL_BL_pdf.rar的压缩文件，诱导受害者下载并打开。

这种攻击手法利用多个ZIP文件串接成一个文件，使恶意软件得以隐藏在文件结构中增加隐蔽性，借由不同解压缩工具的显示差异，使部分恶意内容不易被察觉，并对Windows用户构成更大的威胁。

ZIP文件格式因为其结构灵活，因此成为被攻击者滥用于攻击的工具。ZIP档的结构包含文件条目（File Entry）、中央目录（Central Directory）和中央目录结尾标记（EOCD）等部分。中央目录位于文件末端，提供快速文件检索功能，使得压缩工具可以快速定位文件，增进ZIP文件的操作效率。

但是这样的设计让攻击者有机可乘，借由利用多重中央目录的特性，将恶意内容隐藏在串接的文件中，进一步规避安全检测。资安研究人员指出，不同压缩工具对于串接ZIP档的处理方式不同。7zip工具在处理这类文件时，仅显示第一个压缩档的内容，并提醒用户文件末端有多余数据的警告消息。

而WinRAR则会完整显示所有串接ZIP压缩档的内容，包括隐藏的恶意文件，这使得WinRAR成为能够显示出隐藏恶意载荷的工具，可能被用于攻击特定系统，至于Windows File Explorer则在处理串接ZIP文件的能力较弱，有时无法正确打开文件，或者仅能显示部分内容，处理串接文件的不一致性，可能导致不同结果并导致潜在安全风险。

最近一个利用ZIP文件串接手法的攻击，是攻击者通过钓鱼邮件散布SHIPPING_INV_PL_BL_pdf.rar压缩文件，其伪装成一般文件诱导受害者下载和打开。该文件是经由ZIP文件串接技术所构成的压缩档，但攻击者刻意将文件扩展名改为.rar，使受害者误以为是RAR文件。

当受害者使用7zip打开文件时，只能看到一个一般的PDF文档，但是如果是WinRAR和Windows File Explorer用户则会看到隐藏的恶意运行档，可能不小心打开木马程序。该木马具有自动化下载和运行其他恶意程序的能力，会在受害者系统上运行进一步恶意操作。