Una dintre cele mai recente campanii de phishing folosește atașamente HTML care abuzează protocolul de căutare Windows (URI search-ms) pentru a trimite fișiere de tip batch găzduite pe servere remote care livrează malware.
Protocolul de căutare Windows este un Identificator Uniform de Resursă (URI) care permite aplicațiilor să deschidă Exploratorul Windows pentru a efectua căutări folosind parametri specifici.
Deși majoritatea căutărilor Windows se vor uita la indexul dispozitivului local, este posibil și să forțezi Căutarea Windows să interogheze partajările de fișiere de pe gazdele remote și să folosească un titlu personalizat pentru fereastra de căutare.
Atacatorii pot exploata această funcționalitate pentru a partaja fișiere malware pe servere remote, așa cum a evidențiat pentru prima dată Prof. Dr. Martin Johns într-o teză din 2020.
În iunie 2022, cercetătorii de securitate au dezvoltat o serie de atacuri puternice care au exploatat o defecțiune în Microsoft Office pentru a lansa căutări direct din documentele Word.
Cercetătorii de la Trustwave SpiderLabs raportează acum că această tehnică este folosită în sălbăticie de către actorii de amenințare care folosesc atașamente HTML pentru a lansa căutări Windows pe serverele atacatorilor.
Atacurile recente descrise în raportul Trustwave încep cu un email malițios care conține un atașament HTML disimulat ca un document de factură plasat într-un mic arhivă ZIP. Arhiva ZIP ajută la evitarea scanerelor de securitate/AV care ar putea să nu analizeze arhivele pentru conținut malițios.
Fișierul HTML folosește eticheta pentru a determina browser-ul să deschidă automat un URL malițios atunci când documentul HTML este deschis.
Dacă meta refresh nu reușește din cauza setărilor browser-ului care blochează redirecționările sau din alte motive, o etichetă de ancoră furnizează un link clicabil către URL-ul malițios, acționând ca un mecanism de rezervă. Acest lucru, totuși, necesită acțiune din partea utilizatorului.
În acest caz, URL-ul este pentru protocolul de căutare Windows pentru a efectua o căutare pe o gazdă remote folosind următorii parametri:
În continuare, căutarea recuperează lista de fișiere de pe serverul remote, afișând un singur fișier de tip shortcut (LNK) numit ca o factură. Dacă victimul dă clic pe fișier, un script batch (BAT) găzduit pe același server este declanșat.
Trustwave nu a putut stabili ce face BAT-ul, deoarece serverul era inactiv în momentul analizei lor, dar potențialul pentru operațiuni periculoase este ridicat.
Pentru a te apăra împotriva acestei amenințări, Trustwave recomandă ștergerea înregistrărilor de registru asociate cu protocolul de căutare search-ms/search URI executând următoarele comenzi:
Cu toate acestea, acest lucru ar trebui făcut cu atenție, deoarece ar putea împiedica și aplicațiile legitime și caracteristicile integrate ale Windows care se bazează pe acest protocol să funcționeze așa cum este prevăzut.
Leave a Reply