Μια νέα καμπάνια phishing emails, χρησιμοποιεί συνημμένα HTML που κάνουν κατάχρηση του Windows search protocol, για να προωθήσει μαζικά αρχεία που φιλοξενούνται σε απομακρυσμένους διακομιστές που παρέχουν κακόβουλο λογισμικό.
Δείτε επίσης: Phishing επιθέσεις: Σημαντική αύξηση σε ΗΠΑ και Ευρώπη
Το Windows Search protocol είναι ένα Uniform Resource Identifier (URI) που επιτρέπει στις εφαρμογές να ανοίγουν την Εξερεύνηση των Windows για να πραγματοποιούν αναζητήσεις χρησιμοποιώντας συγκεκριμένες παραμέτρους.
Ενώ οι περισσότερες αναζητήσεις των Windows εξετάζουν το ευρετήριο της τοπικής συσκευής, είναι επίσης δυνατό να αναγκαστεί η Αναζήτηση των Windows να υποβάλει ερώτημα σε κοινόχρηστα αρχεία σε απομακρυσμένους κεντρικούς υπολογιστές και να χρησιμοποιήσει έναν προσαρμοσμένο τίτλο για το παράθυρο αναζήτησης. Οι εισβολείς μπορούν να εκμεταλλευτούν αυτή τη λειτουργία για να μοιράζονται κακόβουλα αρχεία σε απομακρυσμένους διακομιστές, όπως τόνισε για πρώτη φορά ο καθηγητής Dr. Martin Johns σε μια διατριβή του 2020.
Τον Ιούνιο του 2022, ερευνητές ασφαλείας επινόησαν μια ισχυρή αλυσίδα επιθέσεων που εκμεταλλεύτηκε επίσης ένα ελάττωμα του Microsoft Office για να ξεκινήσει αναζητήσεις απευθείας από έγγραφα του Word.
Οι ερευνητές του Trustwave SpiderLabs αναφέρουν τώρα ότι αυτή η τεχνική χρησιμοποιείται ενεργά από κακόβουλους παράγοντες, που χρησιμοποιούν συνημμένα HTML για να ξεκινήσουν αναζητήσεις στα Windows σε διακομιστές εισβολέων.
Δείτε ακόμα: Νέα phishing επίθεση διανέμει το More_eggs malware
Κατάχρηση της Αναζήτησης των Windows
Οι πρόσφατες επιθέσεις που περιγράφονται στην αναφορά της Trustwave ξεκινούν με ένα κακόβουλο μήνυμα ηλεκτρονικού ταχυδρομείου που φέρει ένα συνημμένο HTML μεταμφιεσμένο ως έγγραφο τιμολογίου τοποθετημένο σε ένα μικρό αρχείο ZIP. Το ZIP βοηθά στην αποφυγή των σαρωτών ασφαλείας/AV που ενδέχεται να μην αναλύουν τα αρχεία για κακόβουλο περιεχόμενο.
Το αρχείο HTML χρησιμοποιεί την ετικέτα <meta http-equiv= “refresh”> για να κάνει το πρόγραμμα περιήγησης να ανοίξει αυτόματα μια κακόβουλη διεύθυνση URL όταν ανοίγει το έγγραφο HTML. Εάν η μετα-ανανέωση αποτύχει λόγω των ρυθμίσεων του προγράμματος περιήγησης που εμποδίζουν τις ανακατευθύνσεις ή άλλους λόγους, ένα anchor tag παρέχει έναν σύνδεσμο με δυνατότητα κλικ στο κακόβουλο URL, που λειτουργεί ως εναλλακτικός μηχανισμός. Αυτό ωστόσο, απαιτεί δράση από τον χρήστη.
Σε αυτήν την περίπτωση, η διεύθυνση URL προορίζεται για το Windows search protocol, για να πραγματοποιήσει αναζήτηση σε έναν απομακρυσμένο κεντρικό υπολογιστή
χρησιμοποιώντας τις ακόλουθες παραμέτρους:Ερώτημα: Αναζητά στοιχεία με την ένδειξη “INVOICE“.
Crumb: Καθορίζει το εύρος αναζήτησης, δείχνοντας έναν κακόβουλο διακομιστή μέσω του Cloudflare.
Εμφανιζόμενο όνομα: Μετονομάζει την οθόνη αναζήτησης σε “Λήψεις” για να μιμηθεί μια νόμιμη διεπαφή.
Τοποθεσία: Χρησιμοποιεί την υπηρεσία σήραγγας του Cloudflare για να κρύψει τον διακομιστή, κάνοντάς τον να φαίνεται νόμιμος παρουσιάζοντας απομακρυσμένους πόρους ως τοπικά αρχεία.
Στη συνέχεια, η αναζήτηση ανακτά τη λίστα των αρχείων από τον απομακρυσμένο διακομιστή, εμφανίζοντας ένα αρχείο μεμονωμένης συντόμευσης (LNK) που ονομάζεται τιμολόγιο. Εάν το θύμα κάνει κλικ στο αρχείο, ενεργοποιείται μια δέσμη ενεργειών (BAT) που φιλοξενείται στον ίδιο διακομιστή.
Δείτε επίσης: Το νέο phishing kit V3B στοχεύει πελάτες τραπεζών – Στο στόχαστρο και η Ελλάδα
Τα phishing emails είναι μια διαδεδομένη μορφή κυβερνοεπίθεσης, όπου οι εισβολείς μεταμφιέζονται ως αξιόπιστες οντότητες για να εξαπατήσουν τους παραλήπτες να αποκαλύψουν ευαίσθητες πληροφορίες. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου συχνά φαίνεται να προέρχονται από αξιόπιστες πηγές, όπως τράπεζες, κυβερνητικούς οργανισμούς ή γνωστές εταιρείες, γεγονός που καθιστά δύσκολο για τα άτομα να διακρίνουν τη δόλια φύση τους. Οι συνήθεις τακτικές που χρησιμοποιούνται στα μηνύματα phishing περιλαμβάνουν τη συμπερίληψη επειγόντων μηνυμάτων, απειλών αναστολής λογαριασμού ή υποσχέσεων για ανταμοιβές. Ο απώτερος στόχος είναι να εξαπατήσουν τον παραλήπτη να κάνει κλικ σε κακόβουλους συνδέσμους ή να κάνει λήψη επιβλαβών συνημμένων, οδηγώντας σε κλοπή προσωπικών δεδομένων, οικονομική απώλεια ή διείσδυση κακόβουλου λογισμικού στο σύστημα του χρήστη. Η παραμονή σε επαγρύπνηση, η επαλήθευση της γνησιότητας του αποστολέα και η χρησιμοποίηση ισχυρών μέτρων κυβερνοασφάλειας είναι κρίσιμα βήματα για την άμυνα ενάντια στις απόπειρες phishing.
Πηγή: bleepingcomputer