Hacker lợi dụng tính năng tìm kiếm của Windows để cài đặt Trojan truy cập từ xa

Một tính năng tìm kiếm hợp pháp của Windows đang bị hacker khai thác để tải xuống các payload tùy ý từ các máy chủ từ xa và xâm nhập hệ thống mục tiêu bằng các trojan truy cập từ xa như AsyncRAT và Remcos RAT.

Kỹ thuật tấn công mới lợi dụng trình xử lý giao thức URI “search-ms:” (cung cấp khả năng cho các ứng dụng và liên kết HTML khởi chạy các tìm kiếm cục bộ tùy chỉnh trên thiết bị) và giao thức ứng dụng “search:” (một cơ chế gọi ứng dụng tìm kiếm trên desktop trên Windows).

Trong các cuộc tấn công, hacker tạo ra các email lừa đảo chứa các đường link hoặc tệp đính kèm HTML chứa một URL chuyển hướng người dùng đến các trang web bị xâm nhập. Từ đó kích hoạt việc thực thi JavaScript sử dụng trình xử lý giao thức URI để thực hiện tìm kiếm trên máy chủ do kẻ tấn công kiểm soát.

Điều đáng chú ý là việc click vào liên kết cũng tạo ra cảnh báo “Open Windows Explorer?”, phê duyệt kết quả tìm kiếm của các file shortcut độc hại hiển thị trong Windows Explorer dưới dạng PDF hoặc các biểu tượng đáng tin cậy khác, giống như kết quả tìm kiếm cục bộ. Kỹ thuật này giúp lấy lòng tin của người dùng, che giấu về việc họ đang được cung cấp các file từ xa. Kết quả là, người dùng có nhiều khả năng mở tệp hơn và vô tình thực thi mã độc.

Các nhà nghiên cứu khuyến cáo người dùng, không click vào các URL đáng ngờ hoặc tải xuống các file từ các nguồn không xác định.

Remote Access Trojans

Nguồn: The Hacker News