Фишинговые счета с HTML-бомбой: взлом системы через 3, 2, 1

Простой способ обойти блокировки – купи VPN через Телеграмм-бот:

Механизм поиска Windows стал входной точкой для внедрения вредоносного кода.

Исследователи из компании Trustwave обнаружили новую фишинговую кампанию, в которой злоумышленники используют HTML-вложения для злоупотребления протоколом поиска Windows (search-ms URI) и распространения вредоносного ПО.

Протокол поиска Windows позволяет приложениям открывать Проводник для выполнения поиска с использованием определённых параметров. Обычно поиск осуществляется на локальном устройстве, однако возможно принудить поиск файлов на удалённых серверах и использовать настраиваемое название окна поиска.

Хакеры могут использовать эту возможность для распространения вредоносных файлов с удалённых серверов, как впервые отметил профессор Мартин Джонс в своей исследовательской работе от 2020 года.

В июне 2022 года исследователи по безопасности разработали мощную цепочку атак, которая также эксплуатировала уязвимость в Microsoft Office, чтобы запускать поиски напрямую из документов Word.

По данным специалистов Trustwave SpiderLabs, злоумышленники теперь активно применяют эту технику, используя HTML-вложения для запуска поиска Windows на серверах атакующих.

В России и ищешь VPN? Покупай через Телеграмм-бот:

Недавние атаки начинаются с отправки вредоносного письма с HTML-вложением, замаскированным под документ-счёт, упакованным в небольшой ZIP-архив. ZIP-файлы помогают обойти сканеры безопасности, которые могут не анализировать архивы на наличие вредоносного содержимого.

HTML-файл использует тег <meta http-equiv=«refresh»>, чтобы автоматически перейти на вредоносный URL при открытии документа в браузере. Если же мета-обновление не срабатывает из-за настроек браузера, блокирующих перенаправления, якорный тег предоставляет кликабельную ссылку на вредоносный URL, что уже требует действий от пользователя.

URL-адрес используется для выполнения поиска на удалённом хосте с использованием следующих параметров:

  • Query: поиск элементов с меткой «INVOICE»;
  • Crumb: указывает область поиска, ссылаясь на вредоносный сервер через Cloudflare;
  • Displayname: переименовывает отображение поиска в «Downloads» для имитации легитимного интерфейса;
  • Location: использует туннелирование Cloudflare для маскировки сервера, делая его похожим на легитимный.
  Спецслужбы Бангладеш сливают данные граждан в частные Telegram-каналы

Поиск извлекает список файлов с удалённого сервера, отображая один файл ярлыка (LNK), именованный как «INVOICE» («счёт»). При клике на файл запускается сценарий командной оболочки (BAT), размещённый на том же сервере.

Чтобы защититься от этой угрозы, Trustwave рекомендует удалить записи реестра, связанные с протоколом search-ms URI, выполнив следующие команды:

  • reg delete HKEY_CLASSES_ROOTsearch /f
  • reg delete HKEY_CLASSES_ROOTsearch-ms /f

Однако, это следует делать с осторожностью, так как удаление может нарушить работу легитимных приложений и функций Windows, которые зависят от этого протокола.

Приватность — это право, а не роскошь.

Подпишитесь на наш канал и защитите свои права

Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.

Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.

Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.

Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.

Добавить комментарий