【安全资讯】警惕Windows搜索骗局:巧妙的网络钓鱼活动利用用户信任

安恒恒脑 2024-06-14 01:10:12 638人浏览

概要:

一场新的复杂恶意软件活动正在针对Windows用户,利用操作系统内置的搜索功能来欺骗和潜在感染受害者。这次攻击被Trustwave SpiderLabs称为“搜索与欺骗”,展示了对系统漏洞和用户心理的深刻理解。本文将详细分析这一安全威胁及其潜在影响。

主要内容:

这场攻击活动始于一封看似无害的网络钓鱼邮件,邮件中包含一个伪装成常规文档(如发票)的HTML附件。当用户打开该附件时,会触发一系列事件,旨在诱骗用户运行恶意代码。

首先,HTML文件包含代码,利用“search:”协议立即将用户的浏览器重定向到恶意URL。该URL操纵Windows搜索功能,使其看起来像用户在“下载”文件夹中搜索合法文件。搜索结果显示一个快捷方式文件,点击后可能执行隐藏的批处理脚本,并可能启动进一步的恶意活动。

攻击者巧妙地滥用Cloudflare的隧道服务来掩盖其恶意基础设施,使得攻击更难被检测到。通过利用用户对熟悉界面和常规操作(如打开附件)的信任,攻击者旨在绕过传统的安全措施。尽管此次活动的具体有效载荷尚不明确,但其潜在危害是显著的。

Trustwave SpiderLabs建议禁用Windows中的“search-ms”和“search”URI处理程序,以防止搜索协议被利用。他们还为MailMarshal客户部署了更新,以检测和阻止包含恶意HTML文件的邮件。用户可以通过删除相关注册表项来禁用这些处理程序,具体命令如下:

reg delete HKEY_CLASSES_ROOT\search /f

reg delete HKEY_CLASSES_ROOT\search-ms /f

此次攻击突显了用户意识和警惕的重要性。警惕未经请求的邮件和附件,即使它们看起来来自可信来源。始终在点击或打开链接和文件之前验证其合法性。保持操作系统和安全软件的更新,以防止已知漏洞的利用。通过保持信息灵通并采取积极措施来保护系统,可以显著降低成为此类攻击受害者的风险。
网络钓鱼 恶意软件 数据泄露 IT行业 云计算
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。