Фишеры используют протокол Windows Search для распространения вредоносов
Главная » Новости
Высокопроизводительные NGFW от ИнфоТеКСЭффективное решение для обеспечения безопасности вашей корпоративной сети. Реализован на доверенной аппаратной платформе и сертифицирован по требованиям российских регуляторов. Межсетевые экраны следующего поколения обеспечивает глубокую фильтрацию трафика, его контроль и блокировку на уровне приложений. Классический межсетевой экран и криптографический шлюз с ГОСТ VPN.→ Получить консультацию
Реклама, АО "Инфотекс", ИНН 7710013769, 16+

Фишеры используют протокол Windows Search для распространения вредоносов

Екатерина Быстрова 13 Июня 2024 - 09:48
...
Фишеры используют протокол Windows Search для распространения вредоносов

В новой фишинговой кампании злоумышленники используют HTML-вложения, эксплуатирующие поисковой протокол Windows (search-ms URI) для распространения вредоносных программ.

Протокол Windows Search позволяет приложениям запускать Проводник и искать в нём файлы с определёнными параметрами.

Как правило, такой поиск ограничивается локальным индексом устройства, однако в некоторых случаях Windows Search можно заставить извлечь расшаренные файлы с удалённых хостов.

Киберпреступники могут использовать эту функциональность для распространения вредоносных программ. Например, два года назад в компоненте Windows Search нашли уязвимость нулевого дня, позволяющую заставить поиск запросить общие файловые ресурсы, расположенные на удалённых хостах.

В новом отчёте исследователей из Trustwave SpiderLabs описывается новая киберпреступная кампания, в которой атакующие как раз используют эту функциональность.

В частности, злоумышленники задействуют HTML-вложения для запуска поиска на собственных серверах. В одной из таких атак специалисты отметили вложение в формате HTML, замаскированное под счёт. Этот аттач фишеры поместили в небольшой ZIP-архив, что помогает обойти антивирусную защиту.

 

Сам HTML-файл использует тег <meta http-equiv= «refresh»>, чтобы браузер автоматически открыл вредоносный URL при запуске документа.

 

Если автоматическое открытие веб-страницы не срабатывает из-за настроек браузера, в документе есть кликабельная ссылка, однако здесь уже требуется участие пользователя.

 

Поиск на удалённом сервере может выполняться со следующими параметрами:

  • Query — ищет элементы с «INVOICE».
  • Crumb — определяет область поиска и указывает на вредоносный сервер с помощью Cloudflare.
  • Displayname — переименовывает отображение поиска в «Загрузки», что помогает маскировать вредоносную активность под легитимную.
  • Location — использует сервис туннелирования Cloudflare для маскировки сервера.

Далее устройство получает список файлов с удалённого сервера и выводит ярлык (LNK-файл) в виде счёта. Если пользователь откроет этот файл, запустится BAT-скрипт, размещённый на том же вредоносном сервере.

Защититься от подобных атак достаточно легко: нужно удалить определённые ключи реестра с помощью следующих команд:

reg delete HKEY_CLASSES_ROOT\search /f
reg delete HKEY_CLASSES_ROOT\search-ms /f
Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ESET: Не откажетесь от Windows 10 — вас ждёт фиаско
Екатерина Быстрова 07 Января 2025 - 21:48
Windows Уязвимости программ Домашние пользователи Eset
ESET: Не откажетесь от Windows 10 — вас ждёт фиаско

Специалисты словацкой антивирусной компании ESET считают, что пользователей ждёт фиаско, если они будут игнорировать переход с Windows 10. Речь идёт о прекращении поддержки этой версии ОС с октября 2025 года.

Напомним, срок жизни операционной системы Windows 10 прекратится 14 октября 2025 года. На сайте Microsoft пользователей предупреждают: после этой даты не стоит ждать обновлений или техподдержки.

При этом будет возможность платно продлить установку обновлений на три года — программа Extended Security Updates (ESU).

«Осталось совсем немного времени, чтобы успеть избежать фиаско по части кибербезопасности. Мы настоятельно рекомендуем всем пользователям не ждать октября, а перейти на Windows 11 уже сейчас», — пишет специалист ESET Торстен Урбански.

«Тем, чьи устройства не позволяют провести апгрейд, советуем установить актуальную версию альтернативной операционной системы. В противном случае вы подвергаете себя неоправданному риску, а ваш компьютер становится лёгкой мишенью для кибератак».

Взяв статистику использования ОС в Германии, исследователи выяснили, что Windows 10 установлена на 65% устройств, а Windows 11 — всего на 33%. Данные StatCounter подтверждают эту картину: на декабрь 2024-го почти 63% юзеров предпочитали Windows 10, а Windows 11 была установлена на 34% компьютеров.

 

«В этот раз ситуация более серьёзная, нежели при переходе с Windows 7. Тогда только около 20% пользователей сидели на устаревающей операционной системе», — объясняет Урбански.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Android-троян TrickMo ворует ПИН-коды с помощью фейкового экрана блокировки
Новость
Android-троян TrickMo ворует ПИН-коды с помощью фейкового эк...
Открылась регистрация на Айдентити Конф 2024
Новость
Открылась регистрация на Айдентити Конф 2024
73% компаний РФ защищают среды виртуализации с помощью наложенных СЗИ
Новость
73% компаний РФ защищают среды виртуализации с помощью налож...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.