عوامل مخرب ناشناس از یک ویژگی جستجوی قانونی ویندوز برای دانلود پیلودهای دلخواه از سرورهای راه دور سوء استفاده میکنند و سیستمهای هدف را با تروجان های دسترسی از راه دور مانند AsyncRAT و Remcos RAT آلوده میکنند.
به گفته شرکت Trellix، تکنیک حمله جدید، از کنترلکننده پروتکل «search-ms:» URI بهره میبرد که به برنامهها و پیوندهای HTML امکان اجرای جستجوهای محلی دلخواه را میدهد. همچنین با استفاده از این ویژگی میتوان پروتکل اپلیکیشن «search:» را فراخوانی کرد. محققین امنیتی گفتند که مهاجمان، کاربران را به وبسایتهایی هدایت میکنند که از قابلیت search-ms با استفاده از جاوا اسکریپت میزبانی شده در صفحه استفاده میکنند. این تکنیک حتی به پیوستهای HTML نیز گسترش یافته است و سطح حمله را گسترش میدهد.
در چنین حملاتی، عوامل تهدید مشاهده شدهاند که ایمیلهای فریبندهای را ایجاد میکنند که لینکها یا پیوستهای HTML حاوی URL که کاربران را به وبسایتهای در معرض خطر هدایت میکند، جاسازی میکنند. این باعث اجرای جاوا اسکریپت میشود که از کنترلکنندههای پروتکل URI برای انجام جستجو در سرور تحت کنترل مهاجم استفاده میکند.
شایان ذکر است که با کلیک بر روی پیوند، هشداری نمایش داده میشود که "Windows Explorer را باز کنم؟ "، با زدن دکمه تأیید، نتایج جستجوی فایلهای میانبر مخرب میزبانی شده از راه دور در ویندوز اکسپلورر به صورت فایلهای PDF یا سایر نمادهای قابل اعتماد نمایش داده میشوند، درست مانند نتایج جستجوی محلی.
با استفاده از این تکنیک زیرکانه، کاربر متوجه نمیشود که فایلهای ارائه شده به او، فایلهای راه دور هستند. در نتیجه، کاربر احتمال بیشتری دارد که فایل را با فرض اینکه از سیستم خودش است باز کند و ناآگاهانه آن را اجرا کند. اگر قربانی روی یکی از فایلهای میانبر کلیک کند، منجر به اجرای یک کتابخانه پیوند پویا (DLL) با استفاده از ابزار regsvr۳۲.exe میشود. در گونه دیگری از این کمپین، از فایلهای میانبر برای اجرای اسکریپتهای PowerShell استفاده میشود که به نوبه خود، پیلودهای اضافی را در پسزمینه دانلود میکنند در حالی که یک سند PDF فریبنده را به قربانیان نمایش میدهند.
طبق اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای، صرف نظر از روش مورد استفاده، آلودگیها منجر به نصب AsyncRAT و Remcos RAT میشود که مسیری را برای عوامل تهدید ارائه میدهد تا از راه دور میزبانها را کنترل کنند، اطلاعات حساس را سرقت کنند و حتی دسترسی را به مهاجمان دیگر بفروشند. برای جلوگیری از این حملات، ضروری است که از کلیک کردن روی URL های مشکوک یا دانلود فایل از منابع ناشناخته خودداری شود.
گفتنی است این اولین باری نیست که ویندوز بستری برای نفوذ بدافزار قرار میگیرد. سال گذشته اعلام شد بدافزار Rhadamanthys سرقت کننده جدید اطلاعات است که با استفاده از Google Ads کاربران را به وبسایتهای مخرب هدایت میکند. این بدافزار با تکنیک Hijacks Google Ads از نرمافزارهای مجاز برای انتشار خود، سوء استفاده میکند و در تلاش است تا دسترسی اولیه به سیستم قربانی را به دست آورد. هنگام دانلود برنامه بهظاهر مجاز، یک نصب کننده نیز دانلود میشود که بدون اطلاع کاربر، بدافزار سرقت کننده را نیز نصب میکند.
هدف این بدافزار سیستمهای ویندوزی بوده و قادر به اجرای برخی از دستورات PowerShell است. بدافزار Rhadamanthys برنامههای مختلفی ازجمله FTP Client، برنامههای مدیریت فایل و رمزعبور، Email Client، VPN، پیامرسانها و دیگر برنامهها را نیز برای سرقت اطلاعات هدف قرار داده است. مهاجمان سایبری با استفاده از این بدافزار مرورگرهای مختلفی همچون Edge، Firefox، Chrome، Opera را برای جمعآوری اطلاعاتی نظیر کوکیها، اعتبارنامهها، دانلودهای انجامشده و افزونهها هدف قرار میدهند.