O funcționalitate legitimă de căutare în sistemul Windows este exploatată de către actori rău intenționați necunoscuți pentru a descărca sarcini arbitraire de pe servere externe și pentru a compromite sistemele țintă cu ajutorul troienilor de acces la distanță, cum ar fi AsyncRAT și Remcos RAT.

Această tehnică nouă de atac, conform Trellix, profită de handler-ul de protocol „search-ms:„, care oferă posibilitatea aplicațiilor și link-urilor HTML de a lansa căutări locale personalizate pe un dispozitiv, și de protocolul de aplicație „search:„, un mecanism pentru a apela aplicația de căutare desktop pe Windows.

„Atacatorii direcționează utilizatorii către site-uri web care exploatează funcționalitatea ‘search-ms’ folosind JavaScript găzduit pe pagina respectivă”, au declarat cercetătorii de securitate Mathanraj Thangaraju și Sijo Jacob într-un articol publicat joi. „Această tehnică a fost extinsă chiar și la atașamentele HTML, mărind suprafața de atac.”

În astfel de atacuri, atacatorii au fost observați creând e-mailuri înșelătoare care încorporează hyperlinkuri sau atașamente HTML conținând un URL care redirecționează utilizatorii către site-uri compromise. Acest lucru declanșează executarea JavaScript care folosește handlerurile de protocol URI pentru a efectua căutări pe un server controlat de atacatori.

Este important de menționat că făcând clic pe link, apare o avertizare „Deschideți Exploratorul Windows?”. Dacă utilizatorul aprobă, „rezultatele căutării fișierelor de shortcut malițioase, găzduite la distanță, sunt afișate în Exploratorul Windows mascate ca PDF-uri sau alte pictograme de încredere, la fel ca și rezultatele căutărilor locale”, au explicat cercetătorii.

„Această tehnică inteligentă ascunde faptul că utilizatorului i se furnizează fișiere de la distanță și îi oferă iluzia încrederii. În consecință, utilizatorul are mai multe șanse să deschidă fișierul, presupunând că provine de la propriul sistem, și să execute inconștient cod malițios.”

Dacă o victimă face clic pe unul dintre fișierele de shortcut, se ajunge la executarea unei biblioteci dinamice „rogue” (DLL) folosind utilitarul regsvr32.exe.

Într-o variantă alternativă a campaniei, fișierele de shortcut sunt utilizate pentru a rula scripturi PowerShell, care, la rândul lor, descarcă sarcini suplimentare în fundal, în timp ce afișează un document PDF fals pentru a păcăli victimele.

Indiferent de metoda utilizată, infecțiile duc la instalarea troienilor AsyncRAT și Remcos RAT, oferind astfel o cale pentru ca actorii de amenințare să preia controlul de la distanță asupra gazdelor, să fure informații sensibile și chiar să vândă accesul altor atacatori.

Pe măsură ce Microsoft ia treptat măsuri pentru a limita diversele vectori de acces inițial, se așteaptă ca adversarii să folosească metoda de handler a protocolului URI pentru a evita apărarea tradițională și a distribui malware.

„Cel mai important – să nu facem clic pe URL-uri suspecte sau să descărcăm fișiere din surse necunoscute, deoarece aceste acțiuni pot expune sistemele la sarcini malițioase livrate prin intermediul handlerului de protocol URI ‘search’/’search-ms'”, au declarat cercetătorii.

Sursa: The Hacker News