Trustwave SpiderLabs 的安全研究人員發現新的網路犯罪分子正在利用Windows 搜尋協定,或搜尋 ms URI。此 Microsoft 協定可讓您在電腦上啟動個人化搜索,以輕鬆找到文件或資訊。根據 Trustwave SpiderLabs 的報告,駭客已經找到了濫用此功能的方法“部署惡意軟體”。
被困的附件
最初,網路犯罪分子將首先傳輸“一封包含 HTML 附件的可疑電子郵件”到他們的目標。為了平息受害者的懷疑,駭客將附件偽裝成無害的文檔,例如發票。而且,HTML 文件隱藏在“ZIP 存檔”,使網路釣魚攻擊能夠在雷達下進行。
如果使用者開啟 HTML 文件,電腦會自動在網路犯罪分子擁有的伺服器上執行搜尋透過 Search-ms URI 協定。就用戶而言,他不會意識到他現在位於遠端伺服器上。他將確信他是直接在電腦上進行研究。
這就是網路犯罪分子實現其目標的地方。正如 Trustwave SpiderLabs 所解釋的那樣,HTML 檔案中的重定向 URL 將使用 Windows 搜尋協定來恢復惡意文檔在遠端伺服器上。這些被網路犯罪分子稱為「發票」的文件將能夠在電腦上安裝病毒。從那裡,我們可以想像駭客將能夠挖掘機器的敏感資料。
“這種技術巧妙地混淆了攻擊者的真實意圖,利用了用戶對熟悉的介面和打開電子郵件附件等常見操作的信任。”Trustwave SpiderLabs 解釋。
微軟工具經常被濫用
這並不是駭客第一次利用 Windows 搜尋協定來策劃網路攻擊。正如我們去年三月向您解釋的那樣,該協議已經被森林暴雪或花式熊的俄羅斯駭客劫持。他們使用該工具透過帶有陷阱的 PDF 來欺騙用戶。
此外,有些駭客也依賴部署勒索軟體的快速協助功能在 Windows 電腦上。最後,應該指出的是,勒索專家有時會濫用權力BitLocker 功能,但旨在保護您的數據,以實現其目的。
來源 : Trustwave 蜘蛛實驗室
