Фишеры используют протокол Windows Search для распространения вредоносов
Главная » Новости

Фишеры используют протокол Windows Search для распространения вредоносов

Екатерина Быстрова 13 Июня 2024 - 09:48
...
Фишеры используют протокол Windows Search для распространения вредоносов

В новой фишинговой кампании злоумышленники используют HTML-вложения, эксплуатирующие поисковой протокол Windows (search-ms URI) для распространения вредоносных программ.

Протокол Windows Search позволяет приложениям запускать Проводник и искать в нём файлы с определёнными параметрами.

Как правило, такой поиск ограничивается локальным индексом устройства, однако в некоторых случаях Windows Search можно заставить извлечь расшаренные файлы с удалённых хостов.

Киберпреступники могут использовать эту функциональность для распространения вредоносных программ. Например, два года назад в компоненте Windows Search нашли уязвимость нулевого дня, позволяющую заставить поиск запросить общие файловые ресурсы, расположенные на удалённых хостах.

В новом отчёте исследователей из Trustwave SpiderLabs описывается новая киберпреступная кампания, в которой атакующие как раз используют эту функциональность.

В частности, злоумышленники задействуют HTML-вложения для запуска поиска на собственных серверах. В одной из таких атак специалисты отметили вложение в формате HTML, замаскированное под счёт. Этот аттач фишеры поместили в небольшой ZIP-архив, что помогает обойти антивирусную защиту.

 

Сам HTML-файл использует тег <meta http-equiv= «refresh»>, чтобы браузер автоматически открыл вредоносный URL при запуске документа.

 

Если автоматическое открытие веб-страницы не срабатывает из-за настроек браузера, в документе есть кликабельная ссылка, однако здесь уже требуется участие пользователя.

 

Поиск на удалённом сервере может выполняться со следующими параметрами:

  • Query — ищет элементы с «INVOICE».
  • Crumb — определяет область поиска и указывает на вредоносный сервер с помощью Cloudflare.
  • Displayname — переименовывает отображение поиска в «Загрузки», что помогает маскировать вредоносную активность под легитимную.
  • Location — использует сервис туннелирования Cloudflare для маскировки сервера.

Далее устройство получает список файлов с удалённого сервера и выводит ярлык (LNK-файл) в виде счёта. Если пользователь откроет этот файл, запустится BAT-скрипт, размещённый на том же вредоносном сервере.

Защититься от подобных атак достаточно легко: нужно удалить определённые ключи реестра с помощью следующих команд:

reg delete HKEY_CLASSES_ROOT\search /f
reg delete HKEY_CLASSES_ROOT\search-ms /f
Следующая главная новость »
AM LiveРеальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »

Ростех: вирусное видео с Сергеем Чемезовым — подделка
Татьяна Никитина 27 Января 2026 - 17:13
МошенничествоДипфейк (Deepfake)Онлайн-мошенничество Общее
Ростех: вирусное видео с Сергеем Чемезовым — подделка

В минувшие выходные в Сеть слили провокационное видео с участием гендиректора Ростеха Сергея Чемезова, которое быстро набрало свыше 100 репостов. Госкорпорация заявила, что это фейк, созданный с помощью ИИ.

Злоумышленники взяли за основу запись интервью Чемезова китайскому телеканалу CCTV и перенесли переделанный сценарий в Дубай. В итоге любители «жареного» с готовностью подхватили новый вброс, даже не удосужившись проверить источник.

Авторы фальшивки, по словам Ростеха, не только оклеветали его главу, но также попытались дискредитировать промышленность и финансовые власти России, посеяв недовольство в обществе.

 

«Этот инцидент – еще одно подтверждение того, что России необходимы законы, регулирующие сферу ИИ, — заявили в Ростехе. — Полагаем, что за использование технологий дипфейк во вред человеку, компании или стране должна быть уголовная ответственность, жесткая и соразмерная с ущербом, который хотели нанести злоумышленники».

В настоящее время определение дипфейка в российских законах отсутствует, и это большая проблема. Число атак с использованием ИИ-фальшивок растет, а граждане зачастую даже не имеют представления о новой уловке мошенников.

Власти пока лишь пытаются восполнить этот пробел, подправив УК. Так, Минцифры РФ предложило считать использование дипфейков обстоятельством, отягчающим преступления, а в Госдуме уже больше года обсуждают необходимость криминализации противоправного использования ИИ.

AM LiveРеальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »
Метаданные WhatsApp показали: мы плохо понимаем, как ведём себя в чатах
Новость
Метаданные WhatsApp показали: мы плохо понимаем, как ведём с...
Вышла САКУРА 2.37: интеграция с OpenVPN, подключение к серверу по HTTPS
Новость
Вышла САКУРА 2.37: интеграция с OpenVPN, подключение к серве...
После январского апдейта Windows 11 компьютеры перестают загружаться
Новость
После январского апдейта Windows 11 компьютеры перестают заг...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.