Malware. Atakujący wykorzystują wyszukiwarkę w Eksploratorze Windows

Cyberbezpieczeństwo jest ciągłym wyścigiem między atakującymi, którzy wykorzystują dosłownie każdą możliwą podatność; nie ma w zasadzie tygodnia, aby nie pojawiły się doniesienia o nowych atakach. Jak opisywaliśmy na łamach CyberDefence24, w połowie maja w PyPI wykryto obecność złośliwej paczki z malware. W kwietniu zaś głośny był przypadek filmów na YouTube, które reklamowały cracki znanych gier i programów, a w rzeczywistości rozpowszechniały złośliwe oprogramowanie.

Wiadomości e-mail z „rachunkami”

Na kolejną informację o atakach nie trzeba było długo czekać. Jak donosi BleepingComputer, eksperci z Trustwave Spiderlabs wykryli kampanię, która rozpowszechnia malware za pośrednictwem e-maili.

Według opublikowanego raportu badaczy, na pierwszy rzut oka przychodząca wiadomość nie wygląda podejrzanie. Jedynym wyjątkiem jest załącznik .zip, który zawiera plik .html udający „zwyczajny” dokument.

Okazuje się, że w kodzie pliku zostało ukryte polecenie odświeżenia strony natychmiast po jego otwarciu, a następnie wyszukanie pliku o nazwie „INVOICE” na zewnętrznym serwerze. Jeżeli coś poszłoby nie tak z automatycznym wykonaniem tego samego kodu, to „na wszelki wypadek” zawarto tekst z linkiem, który ofiara może kliknąć.

Niewiele ostrzeżeń dla użytkownika

Informacji dla użytkownika, że coś jest nie tak, jest w tej metodzie naprawdę niewiele. Przede wszystkim, uruchomienie pliku .html powoduje wyświetlenie okienka z udzieleniem zgody na otwarcie Eksploratora Windows. Samo okno Eksploratora w nazwie wyświetlanej na górze nie zgadza się z umieszczonym na pasku adresowym „Downloads” – nazwą ustawioną przez atakującego. Tyle i aż tyle – pozostałe elementy nie wzbudzają jakichkolwiek podejrzeń.

Wyszukiwany za pośrednictwem kodu plik .lnk znajduje się na serwerze zewnętrznym. Jego uruchomienie powoduje wykonanie kodu zawartego w innym pliku .bat w tej samej lokalizacji. Badacze z Trustwave nie mogli jednak sprawdzić, jaki skrypt jest wykonywany podczas ataku z powodu niedostępności serwera.

Jak się obronić przed wykorzystaniem wyszukiwarki?

Metoda obrony przed tym atakiem jest dość prosta: wystarczy usunąć z rejestru wpisy dotyczące protokołów search-ms oraz search. Przede wszystkim jednak należy stosować zasadę ograniczonego zaufania i nie ufać wiadomościom e-mail spoza zaufanych źródeł.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].