Una función de búsqueda legítima de Windows está siendo explotada por actores maliciosos para descargar cargas útiles arbitrarias de servidores remotos y comprometer sistemas específicos con troyanos de acceso remoto como AsyncRAT y Remcos RAT.
La nueva técnica de ataque, según Trellix, aprovecha el controlador de protocolo URI » search-ms: «, que ofrece la posibilidad de que las aplicaciones y los enlaces HTML inicien búsquedas locales personalizadas en un dispositivo, y el protocolo de aplicación » search: «, un mecanismo para llamar a la aplicación de búsqueda de escritorio en Windows.
«Los atacantes están dirigiendo a los usuarios a sitios web que explotan la funcionalidad ‘buscar-ms’ utilizando JavaScript alojado en la página», dijeron los investigadores de seguridad Mathanraj Thangaraju y Sijo Jacob en un artículo publicado el jueves. «Esta técnica incluso se ha extendido a los archivos adjuntos HTML, ampliando la superficie de ataque».
En tales ataques, se ha observado que los actores de amenazas crean correos electrónicos engañosos que incorporan hipervínculos o archivos adjuntos HTML que contienen una URL que redirige a los usuarios a sitios web comprometidos. Esto activa la ejecución de JavaScript que utiliza los controladores de protocolo URI para realizar búsquedas en un servidor controlado por un atacante.
Vale la pena señalar que al hacer clic en el enlace también se genera una advertencia «¿Abrir el Explorador de Windows?», que aprueba que «los resultados de la búsqueda de archivos de acceso directo maliciosos alojados de forma remota se muestran en el Explorador de Windows disfrazados como archivos PDF u otros íconos confiables, al igual que los resultados de la búsqueda local, «, explicaron los investigadores.
«Esta técnica inteligente oculta el hecho de que al usuario se le proporcionan archivos remotos y le da la ilusión de confianza. Como resultado, es más probable que el usuario abra el archivo, asumiendo que es de su propio sistema, y sin saberlo ejecute código malicioso.»
Si una víctima hace clic en uno de los archivos de acceso directo, conduce a la ejecución de una biblioteca de enlace dinámico (DLL) no autorizada utilizando la utilidad regsvr32.exe.
En una variante alternativa de la campaña, los archivos de acceso directo se emplean para ejecutar scripts de PowerShell que, a su vez, descargan cargas útiles adicionales en segundo plano, mientras muestran un documento PDF señuelo para engañar a las víctimas.
Independientemente del método utilizado, las infecciones conducen a la instalación de AsyncRAT y Remcos RAT que los actores de amenazas pueden utilizar para requisar de forma remota los hosts, robar información confidencial e incluso vender el acceso a otros atacantes.
Con Microsoft tomando medidas constantemente para tomar medidas drásticas contra varios vectores de acceso inicial, se espera que los adversarios puedan aferrarse al método del controlador del protocolo URI para evadir las defensas de seguridad tradicionales y distribuir malware.
«Es crucial abstenerse de hacer clic en URL sospechosas o descargar archivos de fuentes desconocidas, ya que estas acciones pueden exponer los sistemas a cargas maliciosas entregadas a través del controlador de protocolo URI ‘search’ / ‘search-ms'», dijeron los investigadores.
Fuente y redacción: thehackernews.com
