کمیته رکن چهارم – جستجوی ویندوز توسط برخی از عوامل مخرب به محلی برای انتشار تروجانها تبدیل شده است.
عوامل مخرب ناشناس از یک ویژگی جستجوی قانونی ویندوز برای دانلود پیلودهای دلخواه از سرورهای راه دور سوءاستفاده میکنند و سیستمهای هدف را با تروجان های دسترسی از راه دور مانند AsyncRAT و Remcos RAT آلوده میکنند.
تکنیک حمله جدید، از کنترلکننده پروتکل «search-ms:» URI بهره میبرد که به برنامهها و پیوندهای HTML امکان اجرای جستجوهای محلی دلخواه را میدهد. همچنین با استفاده از این ویژگی میتوان پروتکل اپلیکیشن «search:» را فراخوانی کرد. محققین امنیتی Mathanraj Thangaraju و Sijo Jacob گفتند: مهاجمان، کاربران را به وبسایتهایی هدایت میکنند که از قابلیت search-ms با استفاده از جاوا اسکریپت میزبانی شده در صفحه استفاده میکنند. این تکنیک حتی به پیوستهای HTML نیز گسترش یافته است و سطح حمله را گسترش میدهد.
در چنین حملاتی، عوامل تهدید مشاهده شدهاند که ایمیلهای فریبندهای را ایجاد میکنند که لینکها یا پیوستهای HTML حاوی URL که کاربران را به وبسایتهای در معرض خطر هدایت میکند، جاسازی میکنند. این باعث اجرای جاوا اسکریپت میشود که از کنترلکنندههای پروتکل URI برای انجام جستجو در سرور تحت کنترل مهاجم استفاده میکند.
شایان ذکر است که با کلیک بر روی پیوند، هشداری نمایش داده میشود که «Windows Explorer را باز کنم؟»، با زدن دکمه تأیید، نتایج جستجوی فایلهای میانبر مخرب میزبانی شده از راه دور در Windows Explorer به صورت فایلهای PDF یا سایر نمادهای قابل اعتماد نمایش داده میشوند، درست مانند نتایج جستجوی محلی.
با استفاده از این تکنیک زیرکانه، کاربر متوجه نمیشود که فایلهای ارائه شده به او، فایلهای راه دور هستند. در نتیجه، کاربر احتمال بیشتری دارد که فایل را با فرض اینکه از سیستم خودش است باز کند و ناآگاهانه آن را اجرا کند.
اگر قربانی روی یکی از فایلهای میانبر کلیک کند، منجر به اجرای یک کتابخانه پیوند پویا (DLL) با استفاده از ابزار regsvr32.exe میشود. در گونه دیگری از این کمپین، از فایلهای میانبر برای اجرای اسکریپتهای PowerShell استفاده میشود که به نوبه خود، پیلودهای اضافی را در پسزمینه دانلود میکنند در حالی که یک سند PDF فریبنده را به قربانیان نمایش میدهند.
صرف نظر از روش مورد استفاده، آلودگیها منجر به نصب AsyncRAT و Remcos RAT میشود که مسیری را برای عوامل تهدید ارائه میدهد تا از راه دور میزبانها را کنترل کنند، اطلاعات حساس را سرقت کنند و حتی دسترسی را به مهاجمان دیگر بفروشند.
برای جلوگیری از این حملات، ضروری است که از کلیک کردن روی URLهای مشکوک یا دانلود فایل از منابع ناشناخته خودداری شود.
منبع: افتانا