【安全资讯】网络钓鱼邮件滥用Windows搜索协议传播恶意脚本

概要：

近日，一种新的网络钓鱼活动被发现，攻击者利用HTML附件滥用Windows搜索协议（search-ms URI）来推送托管在远程服务器上的批处理文件，从而传播恶意软件。这一攻击手法不仅巧妙地利用了Windows搜索功能，还通过伪装成合法的发票文件来诱骗受害者点击，具有极大的隐蔽性和危害性。

主要内容：

Trustwave SpiderLabs的研究人员报告称，这种攻击首先通过携带HTML附件的恶意邮件开始，附件被伪装成发票文件并放置在一个小型ZIP压缩包中，以逃避安全/防病毒扫描器的检测。HTML文件使用<meta http-equiv="refresh">标签，当HTML文档被打开时，浏览器会自动打开一个恶意URL。如果由于浏览器设置阻止重定向或其他原因导致meta刷新失败，HTML文件还提供了一个可点击的链接作为备用机制。

在这种情况下，URL是用于Windows搜索协议，通过以下参数在远程主机上执行搜索：Query参数搜索标记为“INVOICE”的项目，Crumb参数指定搜索范围，指向通过Cloudflare的恶意服务器，Displayname参数将搜索显示名称重命名为“Downloads”以模拟合法界面，Location参数使用Cloudflare的隧道服务来掩盖服务器，使其看起来像本地文件。搜索结果会从远程服务器检索文件列表，显示一个名为发票的快捷方式（LNK）文件。如果受害者点击该文件，会触发托管在同一服务器上的批处理脚本（BAT）。

Trustwave无法确定该批处理脚本的具体操作，因为在分析时服务器已关闭，但其潜在的风险操作非常高。为了防御这种威胁，Trustwave建议删除与search-ms/search URI协议相关的注册表项，但这需要谨慎操作，因为这也会阻止依赖该协议的合法应用程序和集成的Windows功能正常工作。

总结：

此次网络钓鱼攻击利用了Windows搜索协议的功能，通过伪装成合法的发票文件来诱骗受害者点击，具有极大的隐蔽性和危害性。用户应保持警惕，避免打开可疑邮件附件，并采取适当的防护措施，如删除相关注册表项以防止此类攻击。