Une fonction de recherche Windows légitime est exploitée par des acteurs malveillants pour télécharger des charges utiles arbitraires à partir de serveurs distants et compromettre des systèmes ciblés avec des chevaux de Troie d’accès à distance tels que AsyncRAT et Remcos RAT.
La nouvelle technique d’attaque, selon Trellix, tire parti du gestionnaire de protocole URI « search-ms: », qui offre la possibilité aux applications et aux liens HTML de lancer des recherches locales personnalisées sur un appareil, et du protocole d’application « search: », un mécanisme d’appel de l’application de recherche de bureau sous Windows.
« Les attaquants dirigent les utilisateurs vers des sites Web qui exploitent la fonctionnalité » search-ms « en utilisant JavaScript hébergé sur la page », ont déclaré les chercheurs en sécurité Mathanraj Thangaraju et Sijo Jacob dans un article publié jeudi. « Cette technique a même été étendue aux pièces jointes HTML, élargissant la surface d’attaque. »
Lors de telles attaques, des acteurs malveillants ont été observés en train de créer des e-mails trompeurs qui intègrent des hyperliens ou des pièces jointes HTML contenant une URL qui redirige les utilisateurs vers des sites Web compromis. Cela déclenche l’exécution de JavaScript qui utilise les gestionnaires de protocole URI pour effectuer des recherches sur un serveur contrôlé par l’attaquant.
Il convient de noter que cliquer sur le lien génère également un avertissement « Ouvrir l’Explorateur Windows ? », approuvant que « les résultats de la recherche de fichiers de raccourcis malveillants hébergés à distance sont affichés dans l’Explorateur Windows déguisés en PDF ou autres icônes de confiance, tout comme les résultats de recherche locaux, » ont expliqué les chercheurs.
« Cette technique intelligente dissimule le fait que l’utilisateur reçoit des fichiers distants et donne à l’utilisateur l’illusion de la confiance. En conséquence, l’utilisateur est plus susceptible d’ouvrir le fichier, en supposant qu’il provient de son propre système, et d’exécuter sans le savoir code malicieux. »
Si une victime clique sur l’un des fichiers de raccourci, cela entraîne l’exécution d’une bibliothèque de liens dynamiques (DLL) malveillante à l’aide de l’utilitaire regsvr32.exe.
Dans une variante alternative de la campagne, les fichiers de raccourci sont utilisés pour exécuter des scripts PowerShell, qui, à leur tour, téléchargent des charges utiles supplémentaires en arrière-plan, tout en affichant un document PDF leurre pour tromper les victimes.
Quelle que soit la méthode utilisée, les infections conduisent à l’installation d’AsyncRAT et de Remcos RAT qui peuvent être utilisés par les acteurs de la menace pour réquisitionner à distance les hôtes, voler des informations sensibles et même vendre l’accès à d’autres attaquants.
Alors que Microsoft prend régulièrement des mesures pour réprimer divers vecteurs d’accès initiaux, on s’attend à ce que les adversaires puissent s’accrocher à la méthode du gestionnaire de protocole URI pour échapper aux défenses de sécurité traditionnelles et distribuer des logiciels malveillants.
« Il est crucial de s’abstenir de cliquer sur des URL suspectes ou de télécharger des fichiers provenant de sources inconnues, car ces actions peuvent exposer les systèmes à des charges utiles malveillantes transmises via le gestionnaire de protocole URI » search »https://thehackernews.com/ »search-ms », » ont déclaré les chercheurs.
