Будьте осторожны с вашим почтовым ящиком. Атака начинается с фишингового письма, которое притворяется счетом или чем-то подобным. Оно содержит архив .ZIP с HTML-файлом, который успешно обходит антивирусные программы и системы безопасности электронной почты, игнорирующие сжатые содержимые.
HTML-файл открывает браузер и заставляет его напрямую взаимодействовать с функцией поиска Windows Explorer. В свою очередь, Windows Explorer ищет элементы с меткой "INVOICE" в определенной директории – сервере, туннелированном через Cloudflare. Более того, поиск переименовывается в "Downloads", что в конечном итоге обманывает жертв, заставляя их думать, что они действительно смотрят на файл, который "загрузили", а не на архив .ZIP.
Фишинговые письма и обход антивируса
Среди файлов, представленных жертвам, находится документ-ярлык (.LNK), указывающий на пакетный скрипт (.BAT), размещенный на том же сервере. Этот скрипт, если его активировать, запускает дополнительные вредоносные операции.
К сожалению, к моменту начала анализа кампании сервер был отключен, что помешало исследователям получить полезную нагрузку. Поэтому невозможно узнать, какой тип вредоносного ПО распространяли злоумышленники.
Меры предосторожности
Чтобы уменьшить угрозу, пользователи могут отключить обработчики протоколов search-ms/search URI, удалив соответствующие записи в реестре. В качестве альтернативы, они должны быть осторожны с входящими письмами с вложениями: "Поскольку пользователи продолжают ориентироваться в все более сложном ландшафте угроз, постоянное образование и проактивные стратегии безопасности остаются первостепенными для защиты от таких обманных тактик," заключили исследователи.