【安全资讯】网络钓鱼邮件滥用Windows搜索协议传播恶意脚本

安恒恒脑 2024-06-14 01:16:21 627人浏览

概要:

近日,一种新的网络钓鱼活动被发现,攻击者利用HTML附件滥用Windows搜索协议(search-ms URI)来推送托管在远程服务器上的批处理文件,从而传播恶意软件。这一攻击手法不仅巧妙地利用了Windows搜索功能,还通过伪装成合法的发票文件来诱骗受害者点击,具有极大的隐蔽性和危害性。

主要内容:

Trustwave SpiderLabs的研究人员报告称,这种攻击首先通过携带HTML附件的恶意邮件开始,附件被伪装成发票文件并放置在一个小型ZIP压缩包中,以逃避安全/防病毒扫描器的检测。HTML文件使用<meta http-equiv="refresh">标签,当HTML文档被打开时,浏览器会自动打开一个恶意URL。如果由于浏览器设置阻止重定向或其他原因导致meta刷新失败,HTML文件还提供了一个可点击的链接作为备用机制。

在这种情况下,URL是用于Windows搜索协议,通过以下参数在远程主机上执行搜索:Query参数搜索标记为“INVOICE”的项目,Crumb参数指定搜索范围,指向通过Cloudflare的恶意服务器,Displayname参数将搜索显示名称重命名为“Downloads”以模拟合法界面,Location参数使用Cloudflare的隧道服务来掩盖服务器,使其看起来像本地文件。搜索结果会从远程服务器检索文件列表,显示一个名为发票的快捷方式(LNK)文件。如果受害者点击该文件,会触发托管在同一服务器上的批处理脚本(BAT)。

Trustwave无法确定该批处理脚本的具体操作,因为在分析时服务器已关闭,但其潜在的风险操作非常高。为了防御这种威胁,Trustwave建议删除与search-ms/search URI协议相关的注册表项,但这需要谨慎操作,因为这也会阻止依赖该协议的合法应用程序和集成的Windows功能正常工作。

总结:

此次网络钓鱼攻击利用了Windows搜索协议的功能,通过伪装成合法的发票文件来诱骗受害者点击,具有极大的隐蔽性和危害性。用户应保持警惕,避免打开可疑邮件附件,并采取适当的防护措施,如删除相关注册表项以防止此类攻击。
网络钓鱼 恶意软件 数据泄露 IT行业 云计算
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。