Фишеры используют протокол Windows Search для распространения вредоносов

Екатерина Быстрова 13 Июня 2024 - 09:48

Домашние пользователи

...

В новой фишинговой кампании злоумышленники используют HTML-вложения, эксплуатирующие поисковой протокол Windows (search-ms URI) для распространения вредоносных программ.

Протокол Windows Search позволяет приложениям запускать Проводник и искать в нём файлы с определёнными параметрами.

Как правило, такой поиск ограничивается локальным индексом устройства, однако в некоторых случаях Windows Search можно заставить извлечь расшаренные файлы с удалённых хостов.

Киберпреступники могут использовать эту функциональность для распространения вредоносных программ. Например, два года назад в компоненте Windows Search нашли уязвимость нулевого дня, позволяющую заставить поиск запросить общие файловые ресурсы, расположенные на удалённых хостах.

В новом отчёте исследователей из Trustwave SpiderLabs описывается новая киберпреступная кампания, в которой атакующие как раз используют эту функциональность.

В частности, злоумышленники задействуют HTML-вложения для запуска поиска на собственных серверах. В одной из таких атак специалисты отметили вложение в формате HTML, замаскированное под счёт. Этот аттач фишеры поместили в небольшой ZIP-архив, что помогает обойти антивирусную защиту.

Сам HTML-файл использует тег <meta http-equiv= «refresh»>, чтобы браузер автоматически открыл вредоносный URL при запуске документа.

Если автоматическое открытие веб-страницы не срабатывает из-за настроек браузера, в документе есть кликабельная ссылка, однако здесь уже требуется участие пользователя.

Поиск на удалённом сервере может выполняться со следующими параметрами:

Query — ищет элементы с «INVOICE».
Crumb — определяет область поиска и указывает на вредоносный сервер с помощью Cloudflare.
Displayname — переименовывает отображение поиска в «Загрузки», что помогает маскировать вредоносную активность под легитимную.
Location — использует сервис туннелирования Cloudflare для маскировки сервера.

Далее устройство получает список файлов с удалённого сервера и выводит ярлык (LNK-файл) в виде счёта. Если пользователь откроет этот файл, запустится BAT-скрипт, размещённый на том же вредоносном сервере.

Защититься от подобных атак достаточно легко: нужно удалить определённые ключи реестра с помощью следующих команд:

reg delete HKEY_CLASSES_ROOT\search /f
reg delete HKEY_CLASSES_ROOT\search-ms /f

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 23 Января 2026 - 19:17

Корпорации

Printum и РЕД АДМ создают единый контур управления безопасной печатью

Российская система управления печатью Printum и система централизованного управления ИТ-инфраструктурой РЕД АДМ объявили о полной технической совместимости. Интеграция позволяет выстроить единый контур управления доступом, учётными записями и печатью в корпоративных инфраструктурах — от небольших офисов до распределённых сетей с множеством филиалов.

Во многих компаниях печать и сканирование до сих пор существуют как отдельная, «параллельная» инфраструктура: с собственными настройками, администраторами и рисками утечек.

Новая интеграция меняет этот подход. Управление печатью становится частью общей доменной политики — наряду с доступом к системам, сервисам и корпоративным ресурсам.

Теперь политики печати, сканирования и копирования можно напрямую связывать с ролями и группами пользователей, а доступ назначать и отзывать централизованно — через те же механизмы, которые используются для управления доменом и объектами ИТ-инфраструктуры. Это снижает количество «слепых зон» и упрощает администрирование.

Совместная дорожная карта Printum и РЕД АДМ предполагает более глубокую интеграцию. Элементы управления печатью будут доступны непосредственно в интерфейсе РЕД АДМ, а изменения в ролях и группах автоматически будут отражаться в правах на печать, сканирование и копирование. Администратору не потребуется поддерживать отдельные инструменты или политики — всё управление будет встроено в общую доменную структуру.

Для корпоративных заказчиков это означает переход к более унифицированной модели администрирования. Все ключевые операции выполняются через единый веб-интерфейс РЕД АДМ, а печать становится полноценной частью системы контроля доступа. Интеграция также рассчитана на масштабирование: решение подходит как для небольших организаций, так и для инфраструктур федерального уровня, включая среды с несколькими доменами.

Отдельно отмечается поддержка гетерогенных инфраструктур. Printum и РЕД АДМ могут работать в средах со смешанным набором систем на базе Linux и Windows, а также выстраивать доверительные отношения с Microsoft Active Directory, что упрощает поэтапную миграцию с зарубежных решений.

В Printum называют интеграцию логичным шагом в сторону более централизованного и управляемого подхода к печати, а в РЕД СОФТ подчёркивают, что совместимость расширяет возможности РЕД АДМ как универсального инструмента управления ИТ-инфраструктурой.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »