Une nouvelle campagne de phishing utilise des pièces jointes HTML qui abusent du protocole de recherche Windows (search-ms URI) pour envoyer des fichiers batch hébergés sur des serveurs distants qui diffusent des logiciels malveillants.

Le protocole de recherche Windows est un identificateur de ressource uniforme (URI) qui permet aux applications d’ouvrir l’Explorateur Windows pour effectuer des recherches à l’aide de paramètres spécifiques.

Bien que la plupart des recherches Windows examinent l’index du périphérique local, il est également possible de forcer Windows Search à interroger les partages de fichiers sur des hôtes distants et à utiliser un titre personnalisé pour la fenêtre de recherche.

Les attaquants peuvent exploiter cette fonctionnalité pour partager des fichiers malveillants sur des serveurs distants, comme l’a souligné pour la première fois le professeur Martin Johns dans une thèse de 2020.

En juin 2022, des chercheurs en sécurité ont mis au point une puissante chaîne d’attaques qui a également exploité une faille de Microsoft Office pour lancer des recherches directement à partir de documents Word.

Les chercheurs de Trustwave SpiderLabs rapportent maintenant que cette technique est utilisée dans la nature par des acteurs malveillants qui utilisent des pièces jointes HTML pour lancer des recherches Windows sur les serveurs des attaquants.

Abuser de la Recherche Windows
Les attaques récentes décrites dans le rapport Trustwave commencent par un e-mail malveillant contenant une pièce jointe HTML déguisée en document de facture placé dans une petite archive ZIP. Le ZIP permet d’échapper aux scanners de sécurité/ANTIVIRUS qui peuvent ne pas analyser les archives à la recherche de contenu malveillant.

Pièce jointe à un e-mail

Le fichier HTML utilise la balise < meta http-equiv= « refresh » > pour que le navigateur ouvre automatiquement une URL malveillante lorsque le document HTML est ouvert.

Contenu du fichier HTML

Si la méta-actualisation échoue en raison des paramètres du navigateur bloquant les redirections ou pour d’autres raisons, une balise d’ancrage fournit un lien cliquable vers l’URL malveillante, agissant comme un mécanisme de secours. Ceci, cependant, nécessite une action de l’utilisateur.

L’invite de recherche et le lien « failsafe »

Dans ce cas, l’URL permet au protocole de recherche Windows d’effectuer une recherche sur un hôte distant à l’aide des paramètres suivants:

  • Requête: Recherche les éléments étiquetés  » FACTURE. »
  • Miette: Spécifie la portée de la recherche, pointant vers un serveur malveillant via Cloudflare.
  • Nom d’affichage: Renomme l’affichage de la recherche en « Téléchargements » pour imiter une interface légitime.
  • Emplacement: Utilise le service de tunneling de Cloudflare pour masquer le serveur, le rendant légitime en présentant les ressources distantes sous forme de fichiers locaux.

Ensuite, la recherche récupère la liste des fichiers du serveur distant, affichant un seul fichier de raccourci (LNK) nommé facture. Si la victime clique sur le fichier, un script batch (BAT) hébergé sur le même serveur est déclenché.

Résultat de la recherche

Trustwave n’a pas pu établir ce que fait la CHAUVE-SOURIS, car le serveur était en panne au moment de leur analyse, mais le potentiel d’opérations risquées est élevé.

Pour se défendre contre cette menace, Trustwave recommande de supprimer les entrées de registre associées au protocole search-ms / search URI en exécutant les commandes suivantes:

reg delete HKEY_CLASSES_ROOT\search /f
reg delete HKEY_CLASSES_ROOT\search-ms /f

Cependant, cela doit être fait avec précaution, car cela empêcherait également les applications légitimes et les fonctionnalités Windows intégrées qui reposent sur ce protocole de fonctionner comme prévu.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *