سوء استفاده هکرها از ویژگی جستجوی ویندوز

به گزارش آرمان اقتصادی، به گفته شرکت Trellix، تکنیک حمله جدید، از کنترل‌کننده پروتکل «search-ms:» URI  بهره می‌برد که به برنامه‌ها و پیوندهای HTML امکان اجرای جستجوهای محلی دلخواه را می‌دهد. همچنین با استفاده از این ویژگی می‌توان پروتکل اپلیکیشن «search:» را فراخوانی کرد. محققین امنیتی گفتند که مهاجمان، کاربران را به وب‌سایت‌هایی هدایت می‌کنند که از قابلیت search-ms با استفاده از جاوا اسکریپت میزبانی شده در صفحه استفاده می‌کنند. این تکنیک حتی به پیوست‌های HTML نیز گسترش یافته است و سطح حمله را گسترش می‌دهد.

در چنین حملاتی، عوامل تهدید مشاهده شده‌اند که ایمیل‌های فریبنده‌ای را ایجاد می‌کنند که لینک‌ها یا پیوست‌های HTML حاوی URL که کاربران را به وب‌سایت‌های در معرض خطر هدایت می‌کند، جاسازی می‌کنند. این باعث اجرای جاوا اسکریپت می‌شود که از کنترل‌کننده‌های پروتکل URI برای انجام جستجو در سرور تحت کنترل مهاجم استفاده می‌کند.

شایان ذکر است که با کلیک بر روی پیوند، هشداری نمایش داده می‌شود که “Windows Explorer را باز کنم؟ “، با زدن دکمه تأیید، نتایج جستجوی فایل‌های میانبر مخرب میزبانی شده از راه دور در ویندوز اکسپلورر به صورت فایل‌های PDF یا سایر نمادهای قابل اعتماد نمایش داده می‌شوند، درست مانند نتایج جستجوی محلی.

با استفاده از این تکنیک زیرکانه، کاربر متوجه نمی‌شود که فایل‌های ارائه شده به او، فایل‌های راه دور هستند. در نتیجه، کاربر احتمال بیشتری دارد که فایل را با فرض اینکه از سیستم خودش است باز کند و ناآگاهانه آن را اجرا کند. اگر قربانی روی یکی از فایل‌های میانبر کلیک کند، منجر به اجرای یک کتابخانه پیوند پویا (DLL)  با استفاده از ابزار regsvr۳۲.exe می‌شود. در گونه دیگری از این کمپین، از فایل‌های میانبر برای اجرای اسکریپت‌های PowerShell استفاده می‌شود که به نوبه خود، پیلودهای اضافی را در پس‌زمینه دانلود می‌کنند در حالی که یک سند PDF فریبنده را به قربانیان نمایش می‌دهند.

طبق اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای، صرف نظر از روش مورد استفاده، آلودگی‌ها منجر به نصب AsyncRAT و Remcos RAT می‌شود که مسیری را برای عوامل تهدید ارائه می‌دهد تا از راه دور میزبان‌ها را کنترل کنند، اطلاعات حساس را سرقت کنند و حتی دسترسی را به مهاجمان دیگر بفروشند. برای جلوگیری از این حملات، ضروری است که از کلیک کردن روی URL های مشکوک یا دانلود فایل از منابع ناشناخته خودداری شود.

گفتنی است این اولین باری نیست که ویندوز بستری برای نفوذ بدافزار قرار میگیرد. سال گذشته اعلام شد بدافزار Rhadamanthys سرقت کننده جدید اطلاعات است که با استفاده از Google Ads کاربران را به وب‌سایت‌های مخرب هدایت می‌کند. این بدافزار با تکنیک Hijacks Google Ads از نرم‌افزارهای مجاز برای انتشار خود، سوء استفاده می‌کند و در تلاش است تا دسترسی اولیه به سیستم قربانی را به دست آورد.  هنگام دانلود برنامه به‌ظاهر مجاز، یک نصب کننده نیز دانلود می‌شود که بدون اطلاع کاربر، بدافزار سرقت کننده را نیز نصب می‌کند.

هدف این بدافزار سیستم‌های ویندوزی بوده و قادر به اجرای برخی از دستورات PowerShell است. بدافزار Rhadamanthys برنامه‌های مختلفی ازجمله FTP Client، برنامه‌های مدیریت فایل و رمزعبور، Email Client، VPN، پیام‌رسان‌ها و دیگر برنامه‌ها را نیز برای سرقت اطلاعات هدف قرار داده است. مهاجمان سایبری با استفاده از این بدافزار مرورگرهای مختلفی همچون Edge، Firefox، Chrome، Opera را برای جمع‌آوری اطلاعاتی نظیر کوکی‌ها، اعتبارنامه‌ها، دانلودهای انجام‌شده و افزونه‌ها هدف قرار می‌دهند. 

انتهای پیام