Buenas Wecindario. investigadores han identificado una nueva campaña de phishing que emplea archivos HTML adjuntos para explotar el protocolo de búsqueda de Windows (URI search-ms), permitiendo la distribución de malware alojado en servidores remotos mediante archivos por lotes.
El protocolo de búsqueda de Windows permite a las aplicaciones abrir el Explorador de Windows y realizar búsquedas con parámetros específicos. Aunque generalmente se enfoca en el índice del dispositivo local, es posible dirigir las búsquedas hacia comparticiones de archivos en hosts remotos y personalizar el título de la ventana de búsqueda.
Índice de contenidos
Estrategia de Ataque
Los atacantes utilizan esta funcionalidad para compartir archivos maliciosos desde servidores remotos.
Esta técnica fue documentada inicialmente en una tesis de 2020 por el Dr. Martin Johns. En junio de 2022, se descubrió una cadena de ataque que explotaba una vulnerabilidad en Microsoft Office para iniciar búsquedas desde documentos de Word.
Actualmente, Trustwave SpiderLabs ha detectado que actores maliciosos están usando archivos HTML adjuntos para activar búsquedas de Windows en servidores controlados por ellos.
Funcionamiento del Ataque
El ataque comienza con un correo electrónico que incluye un archivo HTML disfrazado como una factura dentro de un archivo ZIP. El archivo HTML contiene una etiqueta <meta http-equiv="refresh">
que hace que el navegador abra automáticamente una URL maliciosa al abrir el documento. Si esto falla debido a la configuración del navegador que bloquea redireccionamientos, se incluye una etiqueta de anclaje como respaldo, proporcionando un enlace clicable a la URL maliciosa.
La URL maliciosa emplea el protocolo de búsqueda de Windows con los siguientes parámetros:
- Query: Busca elementos etiquetados como "INVOICE".
- Crumb: Define el alcance de la búsqueda, apuntando a un servidor malicioso a través de Cloudflare.
- Displayname: Cambia el nombre de la búsqueda a "Downloads" para parecer legítima.
- Location: Utiliza el servicio de túneles de Cloudflare para enmascarar el servidor, presentando los recursos remotos como si fueran locales.
La búsqueda muestra una lista de archivos del servidor remoto, incluyendo un archivo de acceso directo (LNK) que parece ser una factura. Al hacer clic en este archivo, se ejecuta un script por lotes (BAT) alojado en el mismo servidor.
Riesgos y Medidas de Protección
Trustwave no pudo determinar la función específica del BAT, ya que el servidor estaba inactivo durante el análisis, pero el riesgo es significativo.
Para protegerse contra esta amenaza, Trustwave sugiere eliminar las entradas de registro asociadas con el protocolo URI search-ms/search mediante los siguientes comandos:
reg delete HKEY_CLASSES_ROOT\search /f
reg delete HKEY_CLASSES_ROOT\search-ms /f
Estos comandos deben ejecutarse con cuidado, ya que también deshabilitarían aplicaciones legítimas y funciones integradas de Windows que dependen de este protocolo.
Accede a más contenido
Si estas interesado en ¿Es Vsphere una plataforma en la nube? pincha aquí.
Si estas interesado en saber más sobre Implementación de Cómo Implementar una Estrategia de Hosting Multiplataforma para Mejorar la Velocidad del Sitio pincha aquí.
Síguenos en LinkedIn ✅ Linkedin Hoswedaje
Y para ver valoraciones reales de nuestros clientes: Maps
Y Suscríbete a YouTube para estar al día de nuestros video-tutoriales 📹Youtube Hoswedaje