Pesquisadores da Trustwave descobriram que há hackers em campanhas de phishing utilizando anexos HTML para abusar do protocolo Windows Search (URI search-ms) e distribuir malware. O protocolo Windows Search permite que os aplicativos abram o File Explorer para realizar pesquisas usando parâmetros específicos. Normalmente, a pesquisa é realizada no dispositivo local, mas é possível forçar a pesquisa de arquivos em servidores remotos e usar um nome de caixa de pesquisa personalizado.
Veja isso
Volume de anexos HTML maliciosos dobrou em 12 meses
Custo de resposta a incidente já alcança US$ 1 milhão
Os hackers podem usar essa capacidade para distribuir arquivos maliciosos de servidores remotos, como observou o professor Martin Jones pela primeira vez em seu artigo de pesquisa de 2020. Em junho de 2022, pesquisadores de segurança desenvolveram uma poderosa cadeia de ataques que também explorou uma vulnerabilidade no Microsoft Office para iniciar pesquisas diretamente em documentos do Word.
De acordo com o Trustwave SpiderLabs, os invasores agora estão usando ativamente essa técnica, usando anexos HTML para iniciar pesquisas do Windows nos servidores dos invasores. Os ataques recentes começam com o envio de um e-mail malicioso com um anexo HTML disfarçado de documento de fatura, empacotado em um pequeno arquivo ZIP. Os arquivos ZIP ajudam a contornar os scanners de segurança, que podem não analisar os arquivos em busca de conteúdo malicioso.
O arquivo HTML usa a tag <meta http-equiv=”refresh”> para navegar automaticamente para o URL malicioso quando o documento é aberto no navegador. Se a meta atualização falhar devido às configurações do navegador bloquearem os redirecionamentos, a tag âncora fornecerá um link clicável para o URL malicioso, que requer ação do usuário.
A URL é usada para realizar uma pesquisa no host remoto usando os seguintes parâmetros:
- Consulta: pesquisa de elementos com etiqueta “INVOICE”;
- Crumb: especifica o escopo da busca, vinculando ao servidor malicioso via Cloudflare;
- Displayname: Renomeia a exibição de pesquisa para “Downloads” para simular uma interface legítima;
- Localização: usa tunelamento Cloudflare para disfarçar o servidor, fazendo-o parecer legítimo.
A pesquisa recupera uma lista de arquivos do servidor remoto, exibindo um único arquivo de atalho (LNK) denominado “INVOICE”. Ao clicar no arquivo, é iniciado um script de shell de comando (BAT) localizado no mesmo servidor.