هکرها به جستجوی ویندوز هم حمله‌ور شده‌اند

کمیته رکن چهارم – جستجوی ویندوز توسط برخی از عوامل مخرب به محلی برای انتشار تروجان‌ها تبدیل شده است.

عوامل مخرب ناشناس از یک ویژگی جستجوی قانونی ویندوز برای دانلود پیلودهای دلخواه از سرورهای راه دور سوءاستفاده می‌کنند و سیستم‌های هدف را با تروجان های دسترسی از راه دور مانند AsyncRAT و Remcos RAT آلوده می‌کنند.

تکنیک حمله جدید، از کنترل‌کننده پروتکل «search-ms:» URI بهره می‌برد که به برنامه‌ها و پیوندهای HTML امکان اجرای جستجوهای محلی دلخواه را می‌دهد. همچنین با استفاده از این ویژگی می‌توان پروتکل اپلیکیشن «search:» را فراخوانی کرد. محققین امنیتی Mathanraj Thangaraju و Sijo Jacob گفتند: مهاجمان، کاربران را به وب‌سایت‌هایی هدایت می‌کنند که از قابلیت search-ms با استفاده از جاوا اسکریپت میزبانی شده در صفحه استفاده می‌کنند. این تکنیک حتی به پیوست‌های HTML نیز گسترش یافته است و سطح حمله را گسترش می‌دهد.

در چنین حملاتی، عوامل تهدید مشاهده شده‌اند که ایمیل‌های فریبنده‌ای را ایجاد می‌کنند که لینک‌ها یا پیوست‌های HTML حاوی URL که کاربران را به وب‌سایت‌های در معرض خطر هدایت می‌کند، جاسازی می‌کنند. این باعث اجرای جاوا اسکریپت می‌شود که از کنترل‌کننده‌های پروتکل URI برای انجام جستجو در سرور تحت کنترل مهاجم استفاده می‌کند.

شایان ذکر است که با کلیک بر روی پیوند، هشداری نمایش داده می‌شود که «Windows Explorer را باز کنم؟»، با زدن دکمه تأیید، نتایج جستجوی فایل‌های میانبر مخرب میزبانی شده از راه دور در Windows Explorer به صورت فایل‌های PDF یا سایر نمادهای قابل اعتماد نمایش داده می‌شوند، درست مانند نتایج جستجوی محلی.

با استفاده از این تکنیک زیرکانه، کاربر متوجه نمی‌شود که فایل‌های ارائه شده به او، فایل‌های راه دور هستند. در نتیجه، کاربر احتمال بیشتری دارد که فایل را با فرض اینکه از سیستم خودش است باز کند و ناآگاهانه آن را اجرا کند.

اگر قربانی روی یکی از فایل‌های میانبر کلیک کند، منجر به اجرای یک کتابخانه پیوند پویا (DLL) با استفاده از ابزار regsvr32.exe می‌شود. در گونه دیگری از این کمپین، از فایل‌های میانبر برای اجرای اسکریپت‌های PowerShell استفاده می‌شود که به نوبه خود، پیلودهای اضافی را در پس‌زمینه دانلود می‌کنند در حالی که یک سند PDF فریبنده را به قربانیان نمایش می‌دهند.

صرف نظر از روش مورد استفاده، آلودگی‌ها منجر به نصب AsyncRAT و Remcos RAT می‌شود که مسیری را برای عوامل تهدید ارائه می‌دهد تا از راه دور میزبان‌ها را کنترل کنند، اطلاعات حساس را سرقت کنند و حتی دسترسی را به مهاجمان دیگر بفروشند.

برای جلوگیری از این حملات، ضروری است که از کلیک کردن روی URLهای مشکوک یا دانلود فایل از منابع ناشناخته خودداری شود.

منبع: افتانا

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.