سو استفاده هکرها از خاصیت جستجوی ویندوز
رهاتل: عوامل مخرب ناشناس از یک خاصیت جستجوی قانونی ویندوز برای دانلود پیلودهای دلخواه از سرورهای راه دور سوء استفاده می نمایند و سیستم های هدف را با تروجان های دسترسی ازراه دور مانند AsyncRAT و Remcos RAT آلوده می کنند.
به گزارش رهاتل به نقل از ایسنا، بگفته شرکت Trellix، تکنیک حمله جدید، از کنترل کننده پروتکل «search-ms: » URI بهره می برد که به برنامه ها و پیوندهای HTML امکان اجرای کاوشهای محلی دلخواه را می دهد. همین طور با بهره گیری از این خاصیت می توان پروتکل اپلیکیشن «search: » را فراخوانی کرد. محققین امنیتی گفتند که مهاجمان، کاربران را به وب سایت هایی هدایت می کنند که از قابلیت search-ms با بهره گیری از جاوا اسکریپت میزبانی شده در صفحه استفاده می نمایند. این تکنیک حتی به پیوست های HTML نیز گسترش یافته است و سطح حمله را گسترش می دهد.
در چنین حملاتی، عوامل تهدید مشاهده شده اند که ایمیل های فریبنده ای را ایجاد می کنند که لینک ها یا پیوست های HTML حاوی URL که کاربران را به وب سایت های در معرض خطر هدایت می کند، جاسازی می کنند. این موجب اجرای جاوا اسکریپت می شود که از کنترل کننده های پروتکل URI برای انجام جستجو در سرور تحت کنترل مهاجم استفاده می نماید.
شایان ذکر است که با کلیک بر روی پیوند، هشداری نمایش داده می شود که "Windows Explorer را باز کنم؟ "، با زدن دکمه تأیید، نتایج جستجوی فایل های میانبر مخرب میزبانی شده ازراه دور در ویندوز اکسپلورر بصورت فایل های PDF یا سایر نمادهای قابل اعتماد نمایش داده می شوند، درست مانند نتایج جستجوی محلی.
با استفاده از این تکنیک زیرکانه، کاربر متوجه نمی شود که فایل های ارائه شده به او، فایل های راه دور هستند. در نتیجه، کاربر احتمال بیشتری دارد که فایل را با فرض این که از سیستم خودش است باز کند و ناآگاهانه آنرا اجرا نماید. اگر قربانی روی یکی از فایل های میانبر کلیک کند، منجر به اجرای یک کتابخانه پیوند پویا (DLL) با بهره گیری از ابزار regsvr۳۲.exe می شود. در گونه دیگری از این کمپین، از فایل های میانبر برای اجرای اسکریپت های PowerShell استفاده می شود که به نوبه خود، پیلودهای اضافی را در پس زمینه دانلود می کنند در صورتیکه یک سند PDF فریبنده را به قربانیان نمایش می دهند.
طبق اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای کامپیوتری، صرف نظر از روش مورد استفاده، آلودگی ها منجر به نصب AsyncRAT و Remcos RAT می شود که مسیری را برای عوامل تهدید ارائه می دهد تا ازراه دور میزبان ها را کنترل کنند، اطلاعات حساس را بدزدند و حتی دسترسی را به مهاجمان دیگر بفروشند. برای جلوگیری از این حملات، لازم است که از کلیک کردن روی URL های مشکوک یا دانلود فایل از منابع ناشناخته خودداری شود.
گفتنی است این نخستین باری نیست که ویندوز بستری برای نفوذ بدافزار قرار میگیرد. سال قبل اعلام گردید بدافزار Rhadamanthys سرقت کننده جدید اطلاعات است که با بهره گیری از Google Ads کاربران را به وب سایت های مخرب هدایت می کند. این بدافزار با تکنیک Hijacks Google Ads از نرم افزارهای مجاز برای انتشار خود، سوء استفاده می نماید و در تلاش است تا دسترسی اولیه به سیستم قربانی را به دست آورد. هنگام دانلود برنامه به ظاهر مجاز، یک نصب کننده نیز دانلود می شود که بدون اطلاع کاربر، بدافزار سرقت کننده را نیز نصب می کند.
هدف این بدافزار سیستم های ویندوزی بوده و قادر به اجرای تعدادی از دستورات PowerShell است. بدافزار Rhadamanthys برنامه های مختلفی ازجمله FTP Client، برنامه های مدیریت فایل و رمزعبور، Email Client، VPN، پیامرسان ها و دیگر برنامه ها را نیز برای سرقت اطلاعات هدف قرار داده است. مهاجمان سایبری با بهره گیری از این بدافزار مرورگرهای مختلفی همچون Edge، Firefox، Chrome، Opera را برای جمع آوری اطلاعاتی نظیر کوکی ها، اعتبارنامه ها، دانلودهای انجام شده و افزونه ها هدف قرار می دهند.
منبع: رهاتل
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب