Reklama

Cyberbezpieczeństwo

Malware. Atakujący wykorzystują wyszukiwarkę w Eksploratorze Windows

Badacze cyberbezpieczeństwa wykryli kolejną kampanię rozpowszechniająca malware. Wykorzystuje ona wyszukiwarkę w Eksploratorze Windows - w jaki konkretnie sposób?
Badacze cyberbezpieczeństwa wykryli kolejną kampanię rozpowszechniająca malware. Wykorzystuje ona wyszukiwarkę w Eksploratorze Windows - w jaki konkretnie sposób?
Autor. Ed Hardie/Unsplash

Badacze cyberbezpieczeństwa odkryli kolejną kampanię rozpowszechniającą malware. Tym razem jednak, atakujący zdecydowali się na wykorzystanie ciekawej metody: protokołu search-ms/search, czyli wyszukiwarki w Eksploratorze Windows.

Cyberbezpieczeństwo jest ciągłym wyścigiem między atakującymi, którzy wykorzystują dosłownie każdą możliwą podatność; nie ma w zasadzie tygodnia, aby nie pojawiły się doniesienia o nowych atakach. Jak opisywaliśmy na łamach CyberDefence24, w połowie maja w PyPI wykryto obecność złośliwej paczki z malware. W kwietniu zaś głośny był przypadek filmów na YouTube, które reklamowały cracki znanych gier i programów, a w rzeczywistości rozpowszechniały złośliwe oprogramowanie.

Czytaj też

Reklama

Wiadomości e-mail z „rachunkami”

Na kolejną informację o atakach nie trzeba było długo czekać. Jak donosi BleepingComputer, eksperci z Trustwave Spiderlabs wykryli kampanię, która rozpowszechnia malware za pośrednictwem e-maili.

Według opublikowanego raportu badaczy, na pierwszy rzut oka przychodząca wiadomość nie wygląda podejrzanie. Jedynym wyjątkiem jest załącznik .zip, który zawiera plik .html udający „zwyczajny” dokument.

Okazuje się, że w kodzie pliku zostało ukryte polecenie odświeżenia strony natychmiast po jego otwarciu, a następnie wyszukanie pliku o nazwie „INVOICE” na zewnętrznym serwerze. Jeżeli coś poszłoby nie tak z automatycznym wykonaniem tego samego kodu, to „na wszelki wypadek” zawarto tekst z linkiem, który ofiara może kliknąć.

Czytaj też

Reklama

Niewiele ostrzeżeń dla użytkownika

Informacji dla użytkownika, że coś jest nie tak, jest w tej metodzie naprawdę niewiele. Przede wszystkim, uruchomienie pliku .html powoduje wyświetlenie okienka z udzieleniem zgody na otwarcie Eksploratora Windows. Samo okno Eksploratora w nazwie wyświetlanej na górze nie zgadza się z umieszczonym na pasku adresowym „Downloads” – nazwą ustawioną przez atakującego. Tyle i aż tyle – pozostałe elementy nie wzbudzają jakichkolwiek podejrzeń.

Wyszukiwany za pośrednictwem kodu plik .lnk znajduje się na serwerze zewnętrznym. Jego uruchomienie powoduje wykonanie kodu zawartego w innym pliku .bat w tej samej lokalizacji. Badacze z Trustwave nie mogli jednak sprawdzić, jaki skrypt jest wykonywany podczas ataku z powodu niedostępności serwera.

Czytaj też

Reklama

Jak się obronić przed wykorzystaniem wyszukiwarki?

Metoda obrony przed tym atakiem jest dość prosta: wystarczy usunąć z rejestru wpisy dotyczące protokołów search-ms oraz search. Przede wszystkim jednak należy stosować zasadę ograniczonego zaufania i nie ufać wiadomościom e-mail spoza zaufanych źródeł.

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].

Reklama

Komentarze

    Reklama