Исследователи безопасности из компании Trellix обнаружили новый способ атаки на ОС семейства Windows, использующий внутренний поиск системы для загрузки вредоносных пейлоадов — полезной нагрузки — с удалённых серверов. Этот «груз» позволяет устанавливать трояны AsyncRAT, Remcos RAT и подобыне.
Атака основана на обработчике протокола URI «search-ms», который позволяет злоумышленникам манипулировать поиском в Windows. Обработчик позволяет приложениям и HTML-ссылкам запускать кастомный поиск, для чего испоьзуется протокол «search:», который отвечает за вызов поиска на рабочем столе Windows.
Благдаря уязвимсоти хакеры могут создавать вредоносные электронные письма с встроенными гиперссылками или HTML-вложениями. При переходе по таким ссылкам пользователи попадают на вредоносный сайт с уже работающим JavaScript, инициирующим поиск на сервере злоумышленников.
«Представим: атакующие направляют пользователей на определённые веб-сайты, которые эксплуатируют “search-ms” с помощью JavaScript. Эту технику даже можно переложить на вложения в формате HTML, что ещё больше расширяет поверхность атаки», — рассказали исследователи безопасности Матханрадж Тангараджу и Сиджо Джейкоб.
Источник: Ferra