سو استفاده هکرها از خصوصیت جستجوی ویندوز
به گزارش کمک وب، عوامل مخرب ناشناس از یک خصوصیت جستجوی قانونی ویندوز برای دانلود پیلودهای دلخواه از سرورهای راه دور سوء استفاده می نمایند و سیستم های هدف را با تروجان های دسترسی از راه دور مانند AsyncRAT و Remcos RAT آلوده می کنند.
به گزارش کمک وب به نقل از ایسنا، به قول شرکت Trellix، تکنیک حمله جدید، از کنترل کننده پروتکل «search-ms: » URI بهره می برد که به برنامه ها و پیوندهای HTML امکان اجرای کاوشهای محلی دلخواه را می دهد. همینطور با استفاده از این خصوصیت میتوان پروتکل اپلیکیشن «search: » را فراخوانی کرد. محققین امنیتی گفتند که مهاجمان، کاربران را به وبسایت هایی هدایت می کنند که از قابلیت search-ms با استفاده از جاوا اسکریپت میزبانی شده در صفحه استفاده می نمایند. این تکنیک حتی به پیوست های HTML هم گسترش یافته است و سطح حمله را گسترش می دهد.
در چنین حملاتی، عوامل تهدید مشاهده شده اند که ایمیل های فریبنده ای را ایجاد می کنند که لینک ها یا پیوست های HTML حاوی URL که کاربران را به وبسایت های در معرض خطر هدایت می کند، جاسازی می کنند. این سبب اجرای جاوا اسکریپت می شود که از کنترل کننده های پروتکل URI برای انجام جستجو در سرور تحت کنترل مهاجم استفاده می نماید.
شایان ذکر است که با کلیک بر روی پیوند، هشداری نمایش داده می شود که "Windows Explorer را باز کنم؟ "، با زدن دکمه تأیید، نتایج جستجوی فایل های میانبر مخرب میزبانی شده از راه دور در ویندوز اکسپلورر به صورت فایل های PDF یا سایر نمادهای قابل اعتماد نمایش داده می شوند، درست مانند نتایج جستجوی محلی.
با استفاده از این تکنیک زیرکانه، کاربر متوجه نمی شود که فایل های عرضه شده به او، فایل های راه دور هستند. در نتیجه، کاربر احتمال بیشتری دارد که فایل را با فرض این که از سیستم خودش است باز کند و ناآگاهانه آنرا اجرا نماید. اگر قربانی روی یکی از فایل های میانبر کلیک کند، منجر به اجرای یک کتابخانه پیوند پویا (DLL) با استفاده از ابزار regsvr۳۲.exe می شود. در گونه دیگری از این کمپین، از فایل های میانبر برای اجرای اسکریپت های PowerShell استفاده می شود که به نوبه خود، پیلودهای اضافی را در پس زمینه دانلود می کنند در حالیکه یک سند PDF فریبنده را به قربانیان نمایش می دهند.
طبق اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای کامپیوتری، صرف نظر از روش مورد استفاده، آلودگی ها منجر به نصب AsyncRAT و Remcos RAT می شود که مسیری را برای عوامل تهدید عرضه می دهد تا از راه دور میزبان ها را کنترل کنند، اطلاعات حساس را سرقت نمایند و حتی دسترسی را به مهاجمان دیگر بفروشند. برای پیشگیری از این حملات، ضروریست که از کلیک کردن روی URL های مشکوک یا دانلود فایل از منابع ناشناخته خودداری شود.
گفتنی است این اولین باری نیست که ویندوز بستری برای نفوذ بدافزار قرار میگیرد. سال قبل اعلام گردید بدافزار Rhadamanthys سرقت کننده جدید اطلاعات است که با استفاده از Google Ads کاربران را به وبسایت های مخرب هدایت می کند. این بدافزار با تکنیک Hijacks Google Ads از نرم افزارهای مجاز برای انتشار خود، سوء استفاده می نماید و در تلاش است تا دسترسی اولیه به سیستم قربانی را به دست آورد. هنگام دانلود برنامه به ظاهر مجاز، یک نصب کننده هم دانلود می شود که بدون اطلاع کاربر، بدافزار سرقت کننده را هم نصب می کند.
هدف این بدافزار سیستم های ویندوزی بوده و قادر به اجرای بعضی از دستورات PowerShell است. بدافزار Rhadamanthys برنامه های مختلفی ازجمله FTP Client، برنامه های مدیریت فایل و رمزعبور، Email Client، VPN، پیام رسان ها و دیگر برنامه ها را هم برای سرقت اطلاعات هدف قرار داده است. مهاجمان سایبری با استفاده از این بدافزار مرورگرهای مختلفی همچون Edge، Firefox، Chrome، Opera را برای جمع آوری اطلاعاتی نظیر کوکی ها، اعتبارنامه ها، دانلودهای انجام شده و افزونه ها هدف قرار می دهند.
منبع: komakweb.ir
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب