Фишеры используют протокол Windows Search для распространения вредоносов
Главная » Новости
Первый летний опен-эйр для специалистов по кибербезопасности 17 июля в 11:00 встречаемся в «Берёзы Парк Строгино», где обсудим ИИ в кибербезе, таргетированные атаки, цифровую криминалистику и Bug Bounty.
В программе:
• доклады и практические кейсы;
• воркшопы и киберучения;
• спикерские консультации и живой нетворкинг;
• игровые активности и квест по социнженерии;
• научпоп с Владимиром Сурдиным.→ Купить билет
Реклама. АО «Инфосистемы Джет», ИНН 7729058675, 7+

Фишеры используют протокол Windows Search для распространения вредоносов

Екатерина Быстрова 13 Июня 2024 - 09:48
...
Фишеры используют протокол Windows Search для распространения вредоносов

В новой фишинговой кампании злоумышленники используют HTML-вложения, эксплуатирующие поисковой протокол Windows (search-ms URI) для распространения вредоносных программ.

Протокол Windows Search позволяет приложениям запускать Проводник и искать в нём файлы с определёнными параметрами.

Как правило, такой поиск ограничивается локальным индексом устройства, однако в некоторых случаях Windows Search можно заставить извлечь расшаренные файлы с удалённых хостов.

Киберпреступники могут использовать эту функциональность для распространения вредоносных программ. Например, два года назад в компоненте Windows Search нашли уязвимость нулевого дня, позволяющую заставить поиск запросить общие файловые ресурсы, расположенные на удалённых хостах.

В новом отчёте исследователей из Trustwave SpiderLabs описывается новая киберпреступная кампания, в которой атакующие как раз используют эту функциональность.

В частности, злоумышленники задействуют HTML-вложения для запуска поиска на собственных серверах. В одной из таких атак специалисты отметили вложение в формате HTML, замаскированное под счёт. Этот аттач фишеры поместили в небольшой ZIP-архив, что помогает обойти антивирусную защиту.

 

Сам HTML-файл использует тег <meta http-equiv= «refresh»>, чтобы браузер автоматически открыл вредоносный URL при запуске документа.

 

Если автоматическое открытие веб-страницы не срабатывает из-за настроек браузера, в документе есть кликабельная ссылка, однако здесь уже требуется участие пользователя.

 

Поиск на удалённом сервере может выполняться со следующими параметрами:

  • Query — ищет элементы с «INVOICE».
  • Crumb — определяет область поиска и указывает на вредоносный сервер с помощью Cloudflare.
  • Displayname — переименовывает отображение поиска в «Загрузки», что помогает маскировать вредоносную активность под легитимную.
  • Location — использует сервис туннелирования Cloudflare для маскировки сервера.

Далее устройство получает список файлов с удалённого сервера и выводит ярлык (LNK-файл) в виде счёта. Если пользователь откроет этот файл, запустится BAT-скрипт, размещённый на том же вредоносном сервере.

Защититься от подобных атак достаточно легко: нужно удалить определённые ключи реестра с помощью следующих команд:

reg delete HKEY_CLASSES_ROOT\search /f
reg delete HKEY_CLASSES_ROOT\search-ms /f
Следующая главная новость »
AM LiveИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!

Москва снова без мобильного интернета: операторы предупредили абонентов
Екатерина Быстрова 25 Июня 2026 - 10:46
Соответствие законодательству РФ Общее Системы контентной веб-фильтрации
Москва снова без мобильного интернета: операторы предупредили абонентов

Жителям Москвы снова стоит приготовиться к перебоям с мобильным интернетом. Ряд операторов уже разослал своим абонентам уведомления о том, что сегодня в отдельных районах столицы возможны ограничения доступа к Сети. Как следует из сообщений, меры вводятся по соображениям безопасности.

При этом, как пишет «Код Дурова», речь не идёт о полном отключении интернета по всему городу, ограничения затронут лишь отдельные зоны.

Пока городские власти официально ситуацию не комментировали. Не уточняется и то, сколько продлятся ограничения, а также какие именно районы окажутся под их действием.

 

Для москвичей подобные сообщения перестают быть неожиданностью. Во время временного отключения мобильного интернета могут возникать сложности с вызовом такси, оплатой через терминалы, работой банковских приложений, сервисов доставки и других онлайн-платформ, зависящих от мобильной передачи данных.

Если доступ к Сети пропал, специалисты рекомендуют по возможности подключиться к Wi-Fi, заранее скачать необходимые карты и документы, а также иметь при себе наличные или банковскую карту на случай, если бесконтактная оплата временно перестанет работать.

Когда мобильный интернет вернётся к обычному режиму работы, пока неизвестно.

Ранее Памфилова призвала россиян не роптать из-за отключений интернета.

AM LiveИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!
Полностью отключить Telegram в России без изоляции интернета не получится
Новость
Полностью отключить Telegram в России без изоляции интернета...
Певца SHAMAN уличили в нарушении законодательства о персональных данных
Новость
Певца SHAMAN уличили в нарушении законодательства о персонал...
Новый троян-пранкер атакует россиян и издевается над жертвами
Новость
Новый троян-пранкер атакует россиян и издевается над жертвам...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.