В недавнем открытии исследователей кибербезопасности из Trustwave SpiderLabs, хакеры были обнаружены, использующие функциональность поиска в Windows для распространения вредоносных программ. Эта сложная кампания по распространению вредоносного ПО использует поиск в Windows для внедрения вредоносного программного обеспечения.
Как начинается атака
Атака начинается с электронного письма, содержащего заархивированный файл, в котором находится вредоносное HTML-вложение, замаскированное под обычный документ. Эта тактика позволяет вредоносной программе избегать обнаружения и обходить меры безопасности.
Вредоносное HTML-вложение запускает браузер для перенаправления на URL-адрес эксплуатации при открытии или может содержать кликабельную ссылку, чтобы побудить пользователей вручную инициировать атаку. Это демонстрирует глубокое понимание хакерами функциональности браузера и поведения пользователей.
Использование поиска в Windows
Сформированные поисковые запросы манипулируют проводником Windows для выполнения поиска и злоупотребляют протоколом поиска, перенаправляя браузер с помощью вредоносного HTML. Включение WebDAV позволяет удаленным вредоносным файлам выглядеть как локальные ресурсы, что затрудняет пользователям обнаружение злонамеренных намерений.
Меры противодействия
Trustwave обновила свои системы для идентификации вредоносных HTML-вложений и предотвращения использования скриптов для эксплуатации функциональности поиска. Образование пользователей и проактивные меры безопасности являются ключевыми в борьбе с этими атаками социальной инженерии, которые эксплуатируют доверие пользователей к повседневным задачам.
По мере того как злоумышленники продолжают развивать свои обманные техники, информированность и бдительность остаются ключевыми факторами для снижения рисков, связанных с такими сложными кампаниями по распространению вредоносных программ.