سیستم‌عامل و نرم‌افزار

فناوری اطلاعات

August 2, 2023
14:28 چهارشنبه، 11ام مردادماه 1402
کد خبر: 148074

سوء استفاده هکرها از ویژگی جستجوی ویندوز

عوامل مخرب ناشناس از یک ویژگی جستجوی قانونی ویندوز برای دانلود پیلودهای دلخواه از سرورهای راه دور سوء استفاده می‌کنند و سیستم‌های هدف را با تروجان های دسترسی از راه دور مانند AsyncRAT و Remcos RAT آلوده می‌کنند.
 
به گفته شرکت Trellix، تکنیک حمله جدید، از کنترل‌کننده پروتکل «search-ms:» URI  بهره می‌برد که به برنامه‌ها و پیوندهای HTML امکان اجرای جستجوهای محلی دلخواه را می‌دهد. همچنین با استفاده از این ویژگی می‌توان پروتکل اپلیکیشن «search:» را فراخوانی کرد. محققین امنیتی گفتند که مهاجمان، کاربران را به وب‌سایت‌هایی هدایت می‌کنند که از قابلیت search-ms با استفاده از جاوا اسکریپت میزبانی شده در صفحه استفاده می‌کنند. این تکنیک حتی به پیوست‌های HTML نیز گسترش یافته است و سطح حمله را گسترش می‌دهد.
 
در چنین حملاتی، عوامل تهدید مشاهده شده‌اند که ایمیل‌های فریبنده‌ای را ایجاد می‌کنند که لینک‌ها یا پیوست‌های HTML حاوی URL که کاربران را به وب‌سایت‌های در معرض خطر هدایت می‌کند، جاسازی می‌کنند. این باعث اجرای جاوا اسکریپت می‌شود که از کنترل‌کننده‌های پروتکل URI برای انجام جستجو در سرور تحت کنترل مهاجم استفاده می‌کند.
 
شایان ذکر است که با کلیک بر روی پیوند، هشداری نمایش داده می‌شود که "Windows Explorer را باز کنم؟ "، با زدن دکمه تأیید، نتایج جستجوی فایل‌های میانبر مخرب میزبانی شده از راه دور در ویندوز اکسپلورر به صورت فایل‌های PDF یا سایر نمادهای قابل اعتماد نمایش داده می‌شوند، درست مانند نتایج جستجوی محلی.
 
با استفاده از این تکنیک زیرکانه، کاربر متوجه نمی‌شود که فایل‌های ارائه شده به او، فایل‌های راه دور هستند. در نتیجه، کاربر احتمال بیشتری دارد که فایل را با فرض اینکه از سیستم خودش است باز کند و ناآگاهانه آن را اجرا کند. اگر قربانی روی یکی از فایل‌های میانبر کلیک کند، منجر به اجرای یک کتابخانه پیوند پویا (DLL)  با استفاده از ابزار regsvr۳۲.exe می‌شود. در گونه دیگری از این کمپین، از فایل‌های میانبر برای اجرای اسکریپت‌های PowerShell استفاده می‌شود که به نوبه خود، پیلودهای اضافی را در پس‌زمینه دانلود می‌کنند در حالی که یک سند PDF فریبنده را به قربانیان نمایش می‌دهند.
 
طبق اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای، صرف نظر از روش مورد استفاده، آلودگی‌ها منجر به نصب AsyncRAT و Remcos RAT می‌شود که مسیری را برای عوامل تهدید ارائه می‌دهد تا از راه دور میزبان‌ها را کنترل کنند، اطلاعات حساس را سرقت کنند و حتی دسترسی را به مهاجمان دیگر بفروشند. برای جلوگیری از این حملات، ضروری است که از کلیک کردن روی URL های مشکوک یا دانلود فایل از منابع ناشناخته خودداری شود.
 
گفتنی است این اولین باری نیست که ویندوز بستری برای نفوذ بدافزار قرار میگیرد. سال گذشته اعلام شد بدافزار Rhadamanthys سرقت کننده جدید اطلاعات است که با استفاده از Google Ads کاربران را به وب‌سایت‌های مخرب هدایت می‌کند. این بدافزار با تکنیک Hijacks Google Ads از نرم‌افزارهای مجاز برای انتشار خود، سوء استفاده می‌کند و در تلاش است تا دسترسی اولیه به سیستم قربانی را به دست آورد.  هنگام دانلود برنامه به‌ظاهر مجاز، یک نصب کننده نیز دانلود می‌شود که بدون اطلاع کاربر، بدافزار سرقت کننده را نیز نصب می‌کند.
 
هدف این بدافزار سیستم‌های ویندوزی بوده و قادر به اجرای برخی از دستورات PowerShell است. بدافزار Rhadamanthys برنامه‌های مختلفی ازجمله FTP Client، برنامه‌های مدیریت فایل و رمزعبور، Email Client، VPN، پیام‌رسان‌ها و دیگر برنامه‌ها را نیز برای سرقت اطلاعات هدف قرار داده است. مهاجمان سایبری با استفاده از این بدافزار مرورگرهای مختلفی همچون Edge، Firefox، Chrome، Opera را برای جمع‌آوری اطلاعاتی نظیر کوکی‌ها، اعتبارنامه‌ها، دانلودهای انجام‌شده و افزونه‌ها هدف قرار می‌دهند. 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.