Hackers abusam do recurso de pesquisa do Windows para instalar cavalos de Tróia de acesso remoto

Um recurso de pesquisa legítimo do Windows pode ser explorado por agentes mal-intencionados para baixar cargas arbitrárias de servidores remotos e comprometer sistemas direcionados com trojans de acesso remoto, como AsyncRAT e Remcos RAT.

A nova técnica de ataque, de acordo com Trellix, tira proveito do manipulador de protocolo URI ” search-ms: “, que oferece a capacidade de aplicativos e links HTML para iniciar pesquisas locais personalizadas em um dispositivo, e o protocolo de aplicativo ” search: “, um mecanismo para chamar o aplicativo de pesquisa da área de trabalho no Windows.

“Os invasores estão direcionando os usuários para sites que exploram a funcionalidade ‘search-ms’ usando JavaScript hospedado na página”, disseram os pesquisadores de segurança Mathanraj Thangaraju e Sijo Jacob em um artigo publicado na quinta-feira. “Essa técnica foi estendida até mesmo para anexos HTML, expandindo a superfície de ataque.”

Nesses ataques, os agentes de ameaças foram observados criando e-mails enganosos que incorporam hiperlinks ou anexos HTML contendo um URL que redireciona os usuários para sites comprometidos. Isso aciona a execução do JavaScript que faz uso dos manipuladores do protocolo URI para realizar pesquisas em um servidor controlado pelo invasor.

É importante notar que clicar no link também gera um aviso “Abrir o Windows Explorer?”, aprovando que “os resultados da pesquisa de arquivos de atalho maliciosos hospedados remotamente são exibidos no Windows Explorer disfarçados de PDFs ou outros ícones confiáveis, assim como os resultados de pesquisa locais, “, explicaram os pesquisadores.

“Essa técnica inteligente oculta o fato de que o usuário está recebendo arquivos remotos e dá ao usuário a ilusão de confiança. Como resultado, é mais provável que o usuário abra o arquivo, presumindo que seja de seu próprio sistema, e execute sem saber Código malicioso.”

Se a vítima clicar em um dos arquivos de atalho, isso levará à execução de uma biblioteca de vínculo dinâmico (DLL) não autorizada, usando o utilitário regsvr32.exe.

Em uma variante alternativa da campanha, os arquivos de atalho são empregados para executar scripts do PowerShell, que, por sua vez, baixam cargas úteis adicionais em segundo plano, enquanto exibem um documento PDF para enganar as vítimas.

Independentemente do método usado, as infecções levam à instalação do AsyncRAT e do Remcos RAT, que podem ser usados ​​pelos invasores para comandar remotamente os hosts, roubar informações confidenciais e até mesmo vender o acesso a outros invasores.

Com a Microsoft constantemente tomando medidas para restringir vários vetores de acesso inicial, espera-se que os adversários possam se apegar ao método do manipulador de protocolo URI para escapar das defesas de segurança tradicionais e distribuir malware.

“É crucial evitar clicar em URLs suspeitos ou baixar arquivos de fontes desconhecidas, pois essas ações podem expor os sistemas a cargas maliciosas fornecidas por meio do manipulador de protocolo URI ‘search’ / ‘search-ms’”, disseram os pesquisadores.