來自Trustwave SpiderLabs的安全研究人員發現,新的網絡犯罪分子可利用Windows搜索協議,或搜索MS URI。此Microsoft協議允許您在計算機上啟動個性化搜索,以輕鬆找到文件或信息。根據Trustwave SpiderLabs報告,黑客找到了一種濫用此功能的方法“部署惡意軟件”。
一個被困的附件
首先,網絡犯罪分子將首先傳播“包含HTML附件的可疑電子郵件”到他們的目標。為了使受害者的不信任,黑客將依戀偽裝成瑣碎的文件,作為發票。而且,HTML文件隱藏在中“拉鍊檔案”,這使網絡釣魚攻擊可以在雷達下進行。
如果用戶打開HTML文件,則計算機將自動啟動有關網絡犯罪分子擁有的服務器的研究通過搜索MS URI協議。就他而言,用戶將不知道他現在在遠程服務器上。他將確信自己正在直接在計算機上進行研究。
這是網絡犯罪分子到達目的的地方。正如TrustWave SpiderLabs所解釋的那樣,HTML文件中的重定向URL將使用Windows搜索協議恢復惡意文件在遠程服務器上。這些文檔已經受洗的“發票”將能夠在計算機上安裝病毒。從那裡可以想像,黑客將能夠從機器的敏感數據中汲取靈感。
“這項技術通過利用用戶在熟悉的接口和當前操作(例如向電子郵件的附件打開附件)中置於信心,從而智能地掩蓋了攻擊者的真正意圖”,解釋Trustwave SpiderLabs。
定期轉移Microsoft工具
這不是黑客第一次利用Windows研究協議來編排網絡攻擊。正如我們去年三月向您解釋的那樣,該協議已經是由俄羅斯黑客森林暴風雪或高檔熊轉移。這些被用作喜歡用戶被困PDF的工具。
此外,一些黑客依靠快速輔助功能以部署勒索軟件在Windows計算機上。最後,應該指出的是,勒索專家有時會濫用BITLOCKER功能,但旨在保護您的數據,以達到目的。
來源 : Trustwave SpiderLabs
