【安全资讯】网络钓鱼邮件滥用Windows搜索协议传播恶意脚本
概要:
近日,一种新的网络钓鱼活动被发现,攻击者利用HTML附件滥用Windows搜索协议(search-ms URI)来推送托管在远程服务器上的批处理文件,从而传播恶意软件。这一攻击手法不仅巧妙地利用了Windows搜索功能,还通过伪装成合法的发票文件来诱骗受害者点击,具有极大的隐蔽性和危害性。主要内容:
Trustwave SpiderLabs的研究人员报告称,这种攻击首先通过携带HTML附件的恶意邮件开始,附件被伪装成发票文件并放置在一个小型ZIP压缩包中,以逃避安全/防病毒扫描器的检测。HTML文件使用<meta http-equiv="refresh">标签,当HTML文档被打开时,浏览器会自动打开一个恶意URL。如果由于浏览器设置阻止重定向或其他原因导致meta刷新失败,HTML文件还提供了一个可点击的链接作为备用机制。在这种情况下,URL是用于Windows搜索协议,通过以下参数在远程主机上执行搜索:Query参数搜索标记为“INVOICE”的项目,Crumb参数指定搜索范围,指向通过Cloudflare的恶意服务器,Displayname参数将搜索显示名称重命名为“Downloads”以模拟合法界面,Location参数使用Cloudflare的隧道服务来掩盖服务器,使其看起来像本地文件。搜索结果会从远程服务器检索文件列表,显示一个名为发票的快捷方式(LNK)文件。如果受害者点击该文件,会触发托管在同一服务器上的批处理脚本(BAT)。
Trustwave无法确定该批处理脚本的具体操作,因为在分析时服务器已关闭,但其潜在的风险操作非常高。为了防御这种威胁,Trustwave建议删除与search-ms/search URI协议相关的注册表项,但这需要谨慎操作,因为这也会阻止依赖该协议的合法应用程序和集成的Windows功能正常工作。
总结:
此次网络钓鱼攻击利用了Windows搜索协议的功能,通过伪装成合法的发票文件来诱骗受害者点击,具有极大的隐蔽性和危害性。用户应保持警惕,避免打开可疑邮件附件,并采取适当的防护措施,如删除相关注册表项以防止此类攻击。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享