Una reciente campaña de phishing utiliza archivos adjuntos HTML que explotan el protocolo de búsqueda de Windows (URI search-ms) para distribuir archivos por lotes alojados en servidores remotos, entregando así malware.
El protocolo de búsqueda de Windows es un Identificador de Recursos Uniforme (URI) que permite a las aplicaciones abrir el Explorador de Windows para realizar búsquedas con parámetros específicos. Aunque la mayoría de las búsquedas de Windows se enfocan en el índice del dispositivo local, también es posible forzar que la búsqueda consulte comparticiones de archivos en hosts remotos y use un título personalizado para la ventana de búsqueda.
Los atacantes pueden aprovechar esta funcionalidad para compartir archivos maliciosos en servidores remotos. Esta técnica fue destacada por primera vez en una tesis de 2020 del profesor Dr. Martin Johns. En junio de 2022, investigadores de seguridad desarrollaron una cadena de ataque que explotaba una vulnerabilidad en Microsoft Office para lanzar búsquedas directamente desde documentos de Word.
Ahora, investigadores de Trustwave SpiderLabs informan que actores maliciosos están utilizando archivos adjuntos HTML para iniciar búsquedas de Windows en los servidores de los atacantes.
Los ataques recientes, descritos en el informe de Trustwave, comienzan con un correo electrónico malicioso que lleva un archivo adjunto HTML disfrazado como un documento de factura dentro de un archivo ZIP. El archivo ZIP ayuda a evadir los escáneres de seguridad que pueden no analizar archivos comprimidos en busca de contenido malicioso.
El archivo HTML utiliza la etiqueta <meta http-equiv="refresh"> para hacer que el navegador abra automáticamente una URL maliciosa cuando se abre el documento HTML.
Si esta meta-refresh falla debido a la configuración del navegador que bloquea redireccionamientos, una etiqueta de anclaje proporciona un enlace clicable a la URL maliciosa como mecanismo de respaldo, requiriendo la acción del usuario.
En este caso, la URL apunta al protocolo de búsqueda de Windows para realizar una búsqueda en un host remoto utilizando los siguientes parámetros:
- Query: Busca elementos etiquetados como «INVOICE«.
- Crumb: Especifica el alcance de la búsqueda, apuntando a un servidor malicioso a través de Cloudflare.
- Displayname: Renombra la visualización de búsqueda a «Downloads» para imitar una interfaz legítima.
- Location: Utiliza el servicio de túneles de Cloudflare para enmascarar el servidor, haciendo que parezca legítimo presentando recursos remotos como archivos locales.
La búsqueda recupera la lista de archivos del servidor remoto, mostrando un único archivo de acceso directo (LNK) nombrado como una factura. Si la víctima hace clic en el archivo, se activa un script por lotes (BAT) alojado en el mismo servidor.
Riesgos y Recomendaciones
Trustwave no pudo determinar la acción específica del BAT, ya que el servidor estaba inactivo en el momento del análisis, pero el riesgo potencial es alto.
Para defenderse contra esta amenaza, Trustwave recomienda eliminar las entradas de registro asociadas con el protocolo URI search-ms/search ejecutando los siguientes comandos:
reg delete HKEY_CLASSES_ROOT\search /f
reg delete HKEY_CLASSES_ROOT\search-ms /fSin embargo, esto debe hacerse con cuidado, ya que también impediría que aplicaciones legítimas y funciones integradas de Windows que dependen de este protocolo funcionen correctamente.
Más información:
- https://learn.microsoft.com/en-us/previous-versions/windows/desktop/legacy/cc144083(v=vs.85)
- https://benjamin-altpeter.de/doc/thesis-electron.pdf
- https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/search-spoof-abuse-of-windows-search-to-redirect-to-malware/
La entrada Nueva campaña de phishing se aprovecha del protocolo de búsqueda de Windows se publicó primero en Una al Día.