- 10,564
- 18
- 8 Ноя 2022
Механизм поиска Windows стал входной точкой для внедрения вредоносного кода.
Исследователи из компании Trustwave Для просмотра ссылки Войдиили Зарегистрируйся новую фишинговую кампанию, в которой злоумышленники используют HTML -вложения для злоупотребления протоколом поиска Windows (search-ms URI) и распространения вредоносного ПО.
Протокол поиска Windows позволяет приложениям открывать Проводник для выполнения поиска с использованием определённых параметров. Обычно поиск осуществляется на локальном устройстве, однако возможно принудить поиск файлов на удалённых серверах и использовать настраиваемое название окна поиска.
Хакеры могут использовать эту возможность для распространения вредоносных файлов с удалённых серверов, как впервые отметил профессор Мартин Джонс в своей Для просмотра ссылки Войдиили Зарегистрируйся от 2020 года.
В июне 2022 года исследователи по безопасности Для просмотра ссылки Войдиили Зарегистрируйся которая также эксплуатировала уязвимость в Microsoft Office , чтобы запускать поиски напрямую из документов Word.
По данным специалистов Trustwave SpiderLabs, злоумышленники теперь активно применяют эту технику, используя HTML-вложения для запуска поиска Windows на серверах атакующих.
Недавние атаки начинаются с отправки вредоносного письма с HTML-вложением, замаскированным под документ-счёт, упакованным в небольшой ZIP-архив. ZIP-файлы помогают обойти сканеры безопасности, которые могут не анализировать архивы на наличие вредоносного содержимого.
HTML-файл использует тег <meta http-equiv=«refresh»>, чтобы автоматически перейти на вредоносный URL при открытии документа в браузере. Если же мета-обновление не срабатывает из-за настроек браузера, блокирующих перенаправления, якорный тег предоставляет кликабельную ссылку на вредоносный URL, что уже требует действий от пользователя.
URL-адрес используется для выполнения поиска на удалённом хосте с использованием следующих параметров:
Чтобы защититься от этой угрозы, Trustwave рекомендует удалить записи реестра, связанные с протоколом search-ms URI, выполнив следующие команды:
Исследователи из компании Trustwave Для просмотра ссылки Войди
Протокол поиска Windows позволяет приложениям открывать Проводник для выполнения поиска с использованием определённых параметров. Обычно поиск осуществляется на локальном устройстве, однако возможно принудить поиск файлов на удалённых серверах и использовать настраиваемое название окна поиска.
Хакеры могут использовать эту возможность для распространения вредоносных файлов с удалённых серверов, как впервые отметил профессор Мартин Джонс в своей Для просмотра ссылки Войди
В июне 2022 года исследователи по безопасности Для просмотра ссылки Войди
По данным специалистов Trustwave SpiderLabs, злоумышленники теперь активно применяют эту технику, используя HTML-вложения для запуска поиска Windows на серверах атакующих.
Недавние атаки начинаются с отправки вредоносного письма с HTML-вложением, замаскированным под документ-счёт, упакованным в небольшой ZIP-архив. ZIP-файлы помогают обойти сканеры безопасности, которые могут не анализировать архивы на наличие вредоносного содержимого.
HTML-файл использует тег <meta http-equiv=«refresh»>, чтобы автоматически перейти на вредоносный URL при открытии документа в браузере. Если же мета-обновление не срабатывает из-за настроек браузера, блокирующих перенаправления, якорный тег предоставляет кликабельную ссылку на вредоносный URL, что уже требует действий от пользователя.
URL-адрес используется для выполнения поиска на удалённом хосте с использованием следующих параметров:
- Query: поиск элементов с меткой «INVOICE»;
- Crumb: указывает область поиска, ссылаясь на вредоносный сервер через Cloudflare;
- Displayname: переименовывает отображение поиска в «Downloads» для имитации легитимного интерфейса;
- Location: использует туннелирование Cloudflare для маскировки сервера, делая его похожим на легитимный.
Чтобы защититься от этой угрозы, Trustwave рекомендует удалить записи реестра, связанные с протоколом search-ms URI, выполнив следующие команды:
- reg delete HKEY_CLASSES_ROOT\search /f
- reg delete HKEY_CLASSES_ROOT\search-ms /f
- Источник новости
- www.securitylab.ru
