Windows: e-mail di phishing sfruttano Ricerca per inviare malware

Una nuova campagna di phishing utilizza allegati HTML che abusano del protocollo di ricerca di Windows (search-ms URI) per inviare file batch ospitati su server remoti che distribuiscono malware. Il protocollo di ricerca Windows è un URI (Uniform Resource Identifier) ​​che consente alle applicazioni di aprire Esplora risorse per eseguire ricerche utilizzando parametri specifici. La maggior parte delle ricerche di Windows esamini l'indice del dispositivo locale. Tuttavia, è possibile forzare Ricerca di Windows a interrogare le condivisioni di file su host remoti e utilizzare un titolo personalizzato per la finestra di ricerca.

Gli aggressori possono sfruttare questa funzionalità per condividere file dannosi su server remoti. Nel giugno 2022, i ricercatori di sicurezza di Hacker House hanno ideato una potente catena di attacchi che sfruttava anche una falla di Microsoft Office. Questa permetteva di avviare ricerche direttamente da documenti Word. I ricercatori di Trustwave SpiderLabs ora riferiscono che questa tecnica viene utilizzata in natura da autori di minacce. Quest’ultimi utilizzano allegati HTML per avviare ricerche Windows sui server degli aggressori.

Windows: come funziona l’invio di malware tramite la Ricerca

L’attacco inizia con un'e-mail dannosa contenente un allegato HTML camuffato da documento di fattura inserito in uno ZIP. Quest’ultimo aiuta a eludere gli scanner di sicurezza/AV che potrebbero non analizzare gli archivi alla ricerca di contenuti dannosi. Il file HTML utilizza il tag <meta http-equiv= "refresh"> affinché il browser apra automaticamente un URL dannoso quando viene aperto il documento HTML. Se il meta refresh fallisce a causa delle impostazioni del browser che bloccano i reindirizzamenti o per altri motivi, un anchor tag fornisce un collegamento selezionabile all'URL dannoso, fungendo da meccanismo di fallback. Ciò, tuttavia, richiede l'intervento dell'utente.

L'URL serve al protocollo di ricerca di Windows per eseguire ricerche su un host remoto utilizzando alcuni parametri. Il primo è Query, che cerca gli elementi etichettati "INVOICE". Il secondo è Crumb, che specifica l'ambito di ricerca, puntando a un server dannoso tramite Cloudflare. Vi è poi Displayname, che rinomina la visualizzazione della ricerca in "Download" per simulare un'interfaccia legittima. L’ultimo parametro è Posizione. Questo utilizza il servizio di tunneling di Cloudflare per mascherare il server, facendolo sembrare legittimo presentando le risorse remote come file locali. Successivamente, la ricerca recupera l'elenco dei file dal server remoto, visualizzando un singolo file di collegamento (LNK) denominato “INVOICE”. Se la vittima fa clic sul file, viene attivato uno script batch (BAT) ospitato sullo stesso server. Trustwave non è riuscita a stabilire cosa fa il BAT, poiché il server era inattivo al momento dell'analisi.

Per difendersi da questa minaccia, Trustwave consiglia di eliminare le voci di registro associate al protocollo URI search-ms/search eseguendo i comandi: reg elimina HKEY_CLASSES_ROOT\search /f e reg elimina HKEY_CLASSES_ROOT\search-ms /f. Tuttavia, questa operazione dovrebbe essere eseguita con attenzione. È infatti probabile che possa impedire anche alle applicazioni legittime e alle funzionalità integrate di Windows basate su questo protocollo di funzionare correttamente.