【安全资讯】警惕Windows搜索骗局：巧妙的网络钓鱼活动利用用户信任

概要：

一场新的复杂恶意软件活动正在针对Windows用户，利用操作系统内置的搜索功能来欺骗和潜在感染受害者。这次攻击被Trustwave SpiderLabs称为“搜索与欺骗”，展示了对系统漏洞和用户心理的深刻理解。本文将详细分析这一安全威胁及其潜在影响。

主要内容：

这场攻击活动始于一封看似无害的网络钓鱼邮件，邮件中包含一个伪装成常规文档（如发票）的HTML附件。当用户打开该附件时，会触发一系列事件，旨在诱骗用户运行恶意代码。

首先，HTML文件包含代码，利用“search:”协议立即将用户的浏览器重定向到恶意URL。该URL操纵Windows搜索功能，使其看起来像用户在“下载”文件夹中搜索合法文件。搜索结果显示一个快捷方式文件，点击后可能执行隐藏的批处理脚本，并可能启动进一步的恶意活动。

攻击者巧妙地滥用Cloudflare的隧道服务来掩盖其恶意基础设施，使得攻击更难被检测到。通过利用用户对熟悉界面和常规操作（如打开附件）的信任，攻击者旨在绕过传统的安全措施。尽管此次活动的具体有效载荷尚不明确，但其潜在危害是显著的。

Trustwave SpiderLabs建议禁用Windows中的“search-ms”和“search”URI处理程序，以防止搜索协议被利用。他们还为MailMarshal客户部署了更新，以检测和阻止包含恶意HTML文件的邮件。用户可以通过删除相关注册表项来禁用这些处理程序，具体命令如下：

reg delete HKEY_CLASSES_ROOT\search /f

reg delete HKEY_CLASSES_ROOT\search-ms /f

此次攻击突显了用户意识和警惕的重要性。警惕未经请求的邮件和附件，即使它们看起来来自可信来源。始终在点击或打开链接和文件之前验证其合法性。保持操作系统和安全软件的更新，以防止已知漏洞的利用。通过保持信息灵通并采取积极措施来保护系统，可以显著降低成为此类攻击受害者的风险。