Secondo i ricercatori di Trellix, una funzione di ricerca legittima di Windows (il gestore del protocollo URI, search-ms) verrebbe sfruttata da attori malevoli per distribuire payload arbitrari da server remoti e compromettere sistemi con i trojan di accesso remoto AsyncRAT e Remcos RAT.
Il gestore del protocollo URI (search-ms), offre la possibilità alle applicazioni e ai collegamenti HTML di avviare ricerche locali personalizzate su un dispositivo.
Lo sfruttamento
Durante un attacco che sfrutta tale funzione, gli attori delle minacce possono creare e-mail ingannevoli contenenti link o allegati HTML che reindirizzano gli utenti a siti Web compromessi.
Quando gli utenti visitano questi siti, del codice javascript avvia ricerche su un server remoto utilizzando proprio il gestore del protocollo URI “search” / “search-ms”.
I file dannosi restituiti e ospitati in remoto vengono quindi visualizzati in Esplora risorse mascherati da PDF o altre icone attendibili.
Questa tecnica è altalmente ingannevole in quanto dà all’utente l’illusione della fiducia lasciando supporre che i file provengano dal proprio sistema, eseguendo invece inconsapevolmente del codice dannoso.
Il click su uno dei link propinati, porta all’esecuzione di una DLL non autorizzata utilizzando l’utilità “regsvr32.exe”.
Infezione anche tramite script Powershell
In altri casi riscontrati, i file short link vengono utilizzati invece per eseguire script PowerShell, che, a loro volta, scaricano payload aggiuntivi in background, mentre visualizzano un documento PDF fasullo per ingannare le vittime.
In tutti i casi le infezioni portano all’installazione di AsyncRAT e Remcos RAT allo scopo di rubare informazioni sensibili e venderli a terzi.
Consigli
“È fondamentale astenersi dal fare clic su URL sospetti o dal scaricare file da fonti sconosciute, poiché queste azioni possono esporre i sistemi a payload dannosi forniti tramite il gestore del protocollo URI ‘search’ / ‘search-ms‘”, consigliano infine i ricercatori.
Di seguito la scansione su VirusTotal di uno dei campioni PDF rilevati. Basso il tasso di rilevamento dei security vendors al momento della stesura di questo articolo (18/60).
https://www.virustotal.com/gui/file/bd33b3aa897df0702913dbecd5ad2f7e63df11f4c2a7e461dad7f89abe218a45