Функцию поиска в Windows можно использовать для установки троянов
Главная » Новости
Высокопроизводительные NGFW от ИнфоТеКСЭффективное решение для обеспечения безопасности вашей корпоративной сети. Реализован на доверенной аппаратной платформе и сертифицирован по требованиям российских регуляторов. Межсетевые экраны следующего поколения обеспечивает глубокую фильтрацию трафика, его контроль и блокировку на уровне приложений. Классический межсетевой экран и криптографический шлюз с ГОСТ VPN.→ Получить консультацию
Реклама, АО "Инфотекс", ИНН 7710013769, 16+

Функцию поиска в Windows можно использовать для установки троянов

Екатерина Быстрова 28 Июля 2023 - 15:59
...
Функцию поиска в Windows можно использовать для установки троянов

Родную функцию поиска в Windows можно использовать для загрузки произвольных пейлоадов с удалённых серверов. Другими словами, условные злоумышленники могут установить в ОС трояны вроде AsyncRAT и Remcos RAT.

По словам исследователей из Trellix, новый вектор атаки опирается на обработчик протокола URI — «search-ms:». Этот обработчик позволяет приложениям и HTML-ссылкам запускать кастомный поиск в ОС, а также протокол «search:», отвечающий за вызов функции поиска на рабочем столе Windows.

«Представим: атакующие направляют пользователей на определённые веб-сайты, которые эксплуатируют “search-ms“ с помощью JavaScript. Эту технику даже можно переложить на вложения в формате HTML, что ещё больше расширяет поверхность атаки», — рассказывают исследователи Матханрадж Тангараджу и Сиджо Джейкоб.

В подобных атаках киберпреступники могут создать вредоносные электронные письма, в которых содержатся встроенные гиперссылки или HTML-вложения. Их цель — донести до пользователя URL, перейдя по которому тот попадёт на вредоносный сайт, где уже работает JavaScript, запускающий поиск на сервере злоумышленников.

Эксперты отмечают, что при клике на ссылке пользователь увидит сообщение «Открыть Проводник Windows?» Если он ответит утвердительно, отобразятся ярлыки вредоносных файлов, замаскированных под PDF-документы или другие известные форматы файлов.

«Все действия атакующих в этом случае направлены на введение жертвы в заблуждение и создание у него иллюзии безобидных локальных файлов. Это приведёт к тому, что пользователь с большой долей вероятности запустит файлы, даже не подозревая, что выполняет в системе вредоносный код».

При открытии замаскированных файлов они запускают вредоносную библиотеку (DLL) с помощью regsvr32.exe. Есть и другой вариант: активируются PowerShell-скрипты, которые в фоновом режиме скачивают дополнительные пейлоады.

В любом случае конечным шагом является установка в систему троянов AsyncRAT и Remcos RAT, открывающих операторам удалённый доступ к компьютеру жертвы.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В мобильный Kaspersky Password Manager добавили быстрый доступ к функциям
Татьяна Никитина 13 Декабря 2024 - 21:17
Kaspersky Password Manager Домашние пользователиКорпорации Менеджеры паролей Лаборатория Касперского
В мобильный Kaspersky Password Manager добавили быстрый доступ к функциям

В честь 10-летия Kaspersky Password Manager для Android и iPhone юзерам подарили возможность быстрого доступа к основным разделам и функциям. Обновление доступно в магазинах Samsung, Huawei, Xiaomi, Apple, RuStore, а также на сайте разработчика.

Первая мобильная версия менеджера паролей Kaspersky была выпущена в 2014 году. С тех пор продукт оброс множеством разнообразных функций, и повышение удобства их использования — вполне ожидаемый шаг.

Из новшеств стоит прежде всего отметить появление нижней панели инструментов, обеспечивающей быстрый доступ к основным функциям («Инструменты», «Поиск»). Раздел «Избранное» перемещен во главу списка, тоже для удобного доступа.

На главный экран добавлены две новые кнопки: «Синхронизация» (базы паролей между устройствами, обновление) и «Купить подписку» (переход с бесплатной версии продукта на Kaspersky Premium).

«Уже более 10 лет решение помогает создавать по-настоящему надёжные пароли и безопасно их хранить, — комментирует новый выпуск Марина Титова, руководитель дивизиона маркетинга и развития потребительского бизнеса «Лаборатории Касперского». — Для защиты аккаунтов приложение уведомляет об утечках из сторонних сервисов и генерирует уникальные одноразовые коды двухфакторной аутентификации. Улучшенная навигация среди множества функций — это отличный старт для следующего десятилетия. Надеемся, что пользователи оценят обновления».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
RTM Group изучила разбирательства в отношении авторских прав на фотографии
Новость
RTM Group изучила разбирательства в отношении авторских прав...
PT Sandbox подружился еще с одним антивирусом — белорусским VBA32
Новость
PT Sandbox подружился еще с одним антивирусом — белорусским...
Matebook станут последними компьютерами от Huawei с Windows
Новость
Matebook станут последними компьютерами от Huawei с Windows

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2024. Все права защищены.