![image-25](https://www.computersecuritynews.it/wp-content/uploads/2023/07/image-25-678x381.png)
Secondo i ricercatori di Trellix, una funzione di ricerca legittima di Windows (il gestore del protocollo URI, search-ms) verrebbe sfruttata da attori malevoli per distribuire payload arbitrari da server remoti e compromettere sistemi con i trojan di accesso remoto AsyncRAT e Remcos RAT.
Il gestore del protocollo URI (search-ms), offre la possibilità alle applicazioni e ai collegamenti HTML di avviare ricerche locali personalizzate su un dispositivo.
Lo sfruttamento
Durante un attacco che sfrutta tale funzione, gli attori delle minacce possono creare e-mail ingannevoli contenenti link o allegati HTML che reindirizzano gli utenti a siti Web compromessi.
![](https://www.computersecuritynews.it/wp-content/uploads/2023/07/image-21-960x583.png)
Quando gli utenti visitano questi siti, del codice javascript avvia ricerche su un server remoto utilizzando proprio il gestore del protocollo URI “search” / “search-ms”.
![](https://www.computersecuritynews.it/wp-content/uploads/2023/07/image-22-960x413.png)
I file dannosi restituiti e ospitati in remoto vengono quindi visualizzati in Esplora risorse mascherati da PDF o altre icone attendibili.
![](https://www.computersecuritynews.it/wp-content/uploads/2023/07/image-23.png)
Questa tecnica è altalmente ingannevole in quanto dà all’utente l’illusione della fiducia lasciando supporre che i file provengano dal proprio sistema, eseguendo invece inconsapevolmente del codice dannoso.
![](https://www.computersecuritynews.it/wp-content/uploads/2023/07/image-20-960x428.png)
Il click su uno dei link propinati, porta all’esecuzione di una DLL non autorizzata utilizzando l’utilità “regsvr32.exe”.
![](https://www.computersecuritynews.it/wp-content/uploads/2023/07/image-24-960x443.png)
Infezione anche tramite script Powershell
In altri casi riscontrati, i file short link vengono utilizzati invece per eseguire script PowerShell, che, a loro volta, scaricano payload aggiuntivi in background, mentre visualizzano un documento PDF fasullo per ingannare le vittime.
In tutti i casi le infezioni portano all’installazione di AsyncRAT e Remcos RAT allo scopo di rubare informazioni sensibili e venderli a terzi.
Consigli
“È fondamentale astenersi dal fare clic su URL sospetti o dal scaricare file da fonti sconosciute, poiché queste azioni possono esporre i sistemi a payload dannosi forniti tramite il gestore del protocollo URI ‘search’ / ‘search-ms‘”, consigliano infine i ricercatori.
Di seguito la scansione su VirusTotal di uno dei campioni PDF rilevati. Basso il tasso di rilevamento dei security vendors al momento della stesura di questo articolo (18/60).
![](https://www.computersecuritynews.it/wp-content/uploads/2023/07/Screenshot_20230729_134614_Chrome-960x1268.jpg)
https://www.virustotal.com/gui/file/bd33b3aa897df0702913dbecd5ad2f7e63df11f4c2a7e461dad7f89abe218a45