Cyberthreat.id - Fitur pencarian Windows yang sah sedang dieksploitasi oleh aktor jahat yang tidak dikenal untuk mengunduh muatan sewenang-wenang dari server jarak jauh dan membahayakan sistem yang ditargetkan dengan trojan akses jarak jauh seperti AsyncRAT dan Remcos RAT.

Teknik serangan baru, menurut Trellix, memanfaatkan penangan protokol URI "search-ms:", yang menawarkan kemampuan aplikasi dan tautan HTML untuk meluncurkan pencarian lokal khusus pada perangkat, dan protokol aplikasi "search:", sebuah mekanisme untuk memanggil aplikasi pencarian desktop di Windows.

"Penyerang mengarahkan pengguna ke situs web yang mengeksploitasi fungsi 'search-ms' menggunakan JavaScript yang dihosting di halaman tersebut," kata peneliti keamanan Mathanraj Thangaraju dan Sijo Jacob dalam tulisan Kamis sebagaimana dikutp The Hacker News.

"Teknik ini bahkan telah diperluas ke lampiran HTML, memperluas permukaan serangan."

Dalam serangan tersebut, pelaku ancaman telah diamati membuat email tipuan yang menyematkan hyperlink atau lampiran HTML yang berisi URL yang mengarahkan pengguna ke situs web yang disusupi.

Ini memicu eksekusi JavaScript yang menggunakan penangan protokol URI untuk melakukan pencarian di server yang dikontrol penyerang.

Perlu dicatat bahwa mengeklik tautan juga menghasilkan peringatan "Buka Windows Explorer?", yang menyetujui bahwa "hasil pencarian file pintasan berbahaya yang dihosting dari jarak jauh ditampilkan di Windows Explorer yang disamarkan sebagai PDF atau ikon tepercaya lainnya, seperti hasil pencarian lokal, " peneliti menjelaskan.

"Teknik pintar ini menyembunyikan fakta bahwa pengguna diberikan file jarak jauh dan memberi pengguna ilusi kepercayaan. Akibatnya, pengguna lebih cenderung membuka file, dengan asumsi itu dari sistem mereka sendiri, dan tanpa sadar mengeksekusi kode berbahaya."

Jika korban mengklik salah satu file pintasan, ini mengarah ke eksekusi pustaka tautan dinamis (DLL) nakal menggunakan utilitas regsvr32.exe.

Dalam varian kampanye alternatif, file pintasan digunakan untuk menjalankan skrip PowerShell, yang, pada gilirannya, mengunduh muatan tambahan di latar belakang, sambil menampilkan dokumen PDF umpan untuk menipu korban.

Terlepas dari metode yang digunakan, infeksi mengarah pada penginstalan AsyncRAT dan Remcos RAT yang dapat digunakan oleh pelaku ancaman untuk mengambil alih host dari jarak jauh, mencuri informasi sensitif, dan bahkan menjual akses ke penyerang lain.

Dengan Microsoft terus mengambil langkah-langkah untuk menekan berbagai vektor akses awal, diharapkan musuh dapat menggunakan metode penangan protokol URI untuk menghindari pertahanan keamanan tradisional dan mendistribusikan malware.

"Sangat penting untuk menahan diri dari mengklik URL yang mencurigakan atau mengunduh file dari sumber yang tidak dikenal, karena tindakan ini dapat mengekspos sistem ke muatan berbahaya yang dikirim melalui penangan protokol URI 'search' / 'search-ms'," kata para peneliti.