Um recurso de busca legítimo do Windows está sendo explorado por atores mal-intencionados desconhecidos para baixar payloads arbitrários de servidores remotos e comprometer sistemas visados com trojans de acesso remoto, como AsyncRAT e Remcos RAT.
A nova técnica de ataque, segundo a Trellix, aproveita o manipulador de protocolo URI “search-ms:”, que oferece a capacidade de aplicativos e links HTML lançarem pesquisas locais personalizadas em um dispositivo, e o protocolo de aplicativo “search:”, mecanismo para chamar o aplicativo de pesquisa na área de trabalho do Windows.
“Os atacantes estão direcionando usuários para sites que exploram a funcionalidade ‘search-ms’ usando JavaScript hospedado na página”, disseram os pesquisadores de segurança Mathanraj Thangaraju e Sijo Jacob em um relato na quinta-feira.
“Essa técnica até foi estendida para anexos HTML, expandindo a superfície de ataque.”
Nesses ataques, os atores de ameaças foram observados criando e-mails enganosos que incorporam hyperlinks ou anexos HTML contendo uma URL que redireciona usuários para sites comprometidos.
Isso aciona a execução do JavaScript que faz uso dos manipuladores de protocolo URI para realizar pesquisas em um servidor controlado pelo atacante.
Vale a pena frisar que ao clicar no link também gera um aviso “Abrir o Windows Explorer?”, aprovando o qual “os resultados da pesquisa de arquivos atalho maliciosos hospedados remotamente são exibidos no Windows Explorer disfarçados como PDFs ou outros ícones confiáveis, assim como os resultados da pesquisa local”, explicaram os pesquisadores.
“Essa técnica inteligente esconde o fato de o usuário estar recebendo arquivos remotos e dá a ilusão de confiança ao usuário.
Como resultado, o usuário é mais propenso a abrir o arquivo, presumindo que seja do próprio sistema, e executar código malicioso sem saber.”
Se uma vítima clicar em um dos arquivos de atalho, ele leva à execução de uma biblioteca de vínculos dinâmicos (DLL) fraudulenta usando o utilitário regsvr32.exe.
Em uma variante alternativa da campanha, os arquivos de atalho são empregados para executar scripts do PowerShell, que, por sua vez, baixam payloads adicionais em segundo plano, enquanto exibem um documento PDF falso para enganar as vítimas.
Independentemente do método usado, as infecções levam à instalação do AsyncRAT e Remcos RAT, oferecendo um caminho para que os atores de ameaças comandem remotamente os hosts, roubem informações sensíveis e até vendam o acesso a outros atacantes.
Com a Microsoft tomando medidas constantes para conter diversos vetores de acesso inicial, é esperado que os adversários possam se prender ao método do manipulador de protocolo URI para evadir as defesas de segurança tradicionais e distribuir malware.
“É crucial evitar clicar em URLs suspeitos ou baixar arquivos de fontes desconhecidas, pois essas ações podem expor os sistemas aos payloads maliciosos entregues pelo manipulador do protocolo URI ‘search’ / ‘search-ms'”, disseram os pesquisadores.
