Pesquisadores de segurança da Trustwave SpiderLabs descobriram uma campanha de phishing que usa o protocolo de pesquisa do Home windows para distribuir malware por meio de anexos de e-mail em HTML. Os invasores exploram o protocolo URI search-ms para consultar compartilhamentos remotos de arquivos, permitindo a distribuição de arquivos prejudiciais.
Como funciona o ataque
A campanha começa com um e-mail contendo um anexo HTML disfarçado de fatura dentro de um arquivo ZIP, um método que normalmente contorna a maioria dos antivírus e verificadores de segurança. Quando o arquivo HTML é aberto, uma tag “redireciona instantaneamente o usuário para um web site malicioso. Se o navegador bloquear esse redirecionamento automático, uma tag âncora clicável servirá como backup, exigindo interação do usuário.
O URL de redirecionamento emprega o protocolo Home windows Search para consultar um servidor remoto em busca de arquivos denominados “INVOICE”. O IP do servidor é ocultado pelo serviço de tunelamento da Cloudflare, fazendo com que pareça um recurso native. Os resultados da pesquisa exibem arquivos do servidor remoto, com um arquivo LNK particularmente enganoso chamado “fatura”, que, quando clicado, executa um script em lote no sistema da vítima.
Execução e dano potencial
Após a interação com o hyperlink, um script em lote do servidor remoto é ativado. Embora a Trustwave não tenha conseguido identificar as especificidades das ações do arquivo em lote devido ao tempo de inatividade do servidor, os riscos incluem a execução potencial de operações prejudiciais.Estratégias de mitigação
A Trustwave sugere modificar o registro para remover entradas associadas ao protocolo URI search-ms/search para evitar exploração. Isso pode ser feito usando os seguintes comandos, embora seja importante observar que isso também afetará os aplicativos legítimos que utilizam este protocolo:
reg delete HKEY_CLASSES_ROOTsearch /f reg delete HKEY_CLASSES_ROOTsearch-ms /f
Detalhes técnicos
Os ataques de phishing tiveram um quantity relativamente baixo, com apenas alguns casos identificados até agora. O anexo HTML aproveita os protocolos net padrão para manipular as funcionalidades do Home windows, especificamente usando uma tag `meta replace` definida como zero para redirecionamento instantâneo. Os navegadores normalmente avisam os usuários antes de executar a pesquisa, agindo como uma proteção contra operações não autorizadas.
