Trustwave SpiderLabs 的安全研究人员发现新的网络犯罪分子正在利用Windows 搜索协议,或搜索 ms URI。此 Microsoft 协议允许您在计算机上启动个性化搜索,以轻松查找文件或信息。根据 Trustwave SpiderLabs 的报告,黑客已经找到了一种滥用此功能的方法“部署恶意软件”。
被困的附件
最初,网络犯罪分子将首先传输“一封包含 HTML 附件的可疑电子邮件”到他们的目标。为了平息受害者的怀疑,黑客将附件伪装成无害的文档,例如发票。而且,HTML 文件隐藏在“ZIP 存档”,使网络钓鱼攻击能够在雷达下进行。
如果用户打开 HTML 文件,计算机会自动在网络犯罪分子拥有的服务器上运行搜索通过 Search-ms URI 协议。就用户而言,他不会意识到他现在位于远程服务器上。他将确信他是直接在计算机上进行研究。
这就是网络犯罪分子实现其目标的地方。正如 Trustwave SpiderLabs 所解释的那样,HTML 文件中的重定向 URL 将使用 Windows 搜索协议来恢复恶意文档在远程服务器上。这些被网络犯罪分子称为“发票”的文件将能够在计算机上安装病毒。从那里,我们可以想象黑客将能够挖掘机器的敏感数据。
“这种技术巧妙地混淆了攻击者的真实意图,利用了用户对熟悉的界面和打开电子邮件附件等常见操作的信任。”Trustwave SpiderLabs 解释道。
微软工具经常被滥用
这并不是黑客第一次利用 Windows 搜索协议来策划网络攻击。正如我们去年三月向您解释的那样,该协议已经被森林暴雪或花式熊的俄罗斯黑客劫持。他们使用该工具通过带有陷阱的 PDF 来欺骗用户。
此外,一些黑客还依赖部署勒索软件的快速协助功能在 Windows 计算机上。最后,应该指出的是,勒索专家有时会滥用权力BitLocker 功能,但旨在保护您的数据,以实现其目的。
来源 : Trustwave 蜘蛛实验室
