В условиях постоянно развивающегося ландшафта киберугроз авторы вредоносных программ постоянно ищут новые пути для эксплуатации ничего не подозревающих пользователей. В операционной системе Windows реализована мощная функция поиска, позволяющая быстро находить файлы, папки и другие объекты на компьютере. Одним из менее известных аспектов этой поисковой функции является обработчик URI-протокола "search-ms", который предоставляет расширенные возможности поиска для выполнения локального поиска.
Центр перспективных исследований Trellix обнаружил новую технику атаки, использующую обработчик URI-протокола "search-ms". Хотя нам уже было известно, что злоумышленники используют обработчик URI-протокола "search-ms" через вредоносные документы, проведенное нами исследование позволило выявить усовершенствование их подхода. Мы обнаружили, что злоумышленники перенаправляют пользователей на сайты, которые используют функциональность "search-ms" с помощью JavaScript, размещенного на странице. Эта техника была распространена даже на HTML-вложения, что расширило зону атаки. В своих исследованиях мы изучали не только возможности протокола "search-ms", но и протокола "search". Протокол "поиск" был создан в операционной системе Windows Vista с версией SP1 и более поздними версиями. Операционная система использует протокол "поиск" для запуска приложения поиска на рабочем столе по умолчанию. Используя возможности обоих протоколов, мы успешно применили функциональность поиска в различных файлах сценариев, включая Batch, Visual Basic, PHP и PowerShell. Это свидетельствует об универсальности и эффективности данной техники атаки, использующей возможности обоих протоколов поиска для осуществления вредоносных действий.
В ходе атаки с использованием обработчика URI-протокола "search" / "search-ms" злоумышленники могут создавать обманные электронные письма, содержащие гиперссылки или почтовые вложения, которые перенаправляют пользователей на скомпрометированные сайты. При посещении сайта вредоносные Java-скрипты инициируют поиск на удаленном сервере с помощью обработчика URI-протокола "search" / "search-ms". Результаты поиска удаленных вредоносных файлов-ярлыков отображаются в Проводнике Windows под видом PDF-файлов или других доверенных значков, как и результаты локального поиска. Эта хитроумная техника скрывает факт предоставления пользователю удаленных файлов и создает у него иллюзию доверия. В результате пользователь с большей вероятностью откроет файл, полагая, что он из его собственной системы, и неосознанно выполнит вредоносный код.
Indicators of Compromise
IPv4
- 79.110.49.162
- 111.90.150.186
Domains
- balkancelikdovme.com
- dhqid3b4b9u6ecv6jcxva0f.webdav.drivehq.com
- dhqid45r064utd5gygt2jy6.webdav.drivehq.com
- dhqid5neul4wc9w74pynlrs.webdav.drivehq.com
- dhqid9pjapv63d8xvji8g4s.webdav.drivehq.com
- dhqidctjo3ugevk9u5sev1r.webdav.drivehq.com
- dhqidee98lja03f52atdmii.webdav.drivehq.com
- dhqidfvyxawy0du9akl2ium.webdav.drivehq.com
- dhqidgnmst61lc8gboy0qu4.webdav.drivehq.com
- dhqidhhva53s2qvmxwxtkrm.webdav.drivehq.com
- dhqidhx2c2f2oc8lccg38tx.webdav.drivehq.com
- dhqidk9oi3yuhf43sb05xgn.webdav.drivehq.com
- dhqidlnsxx2qigisdvn7x2f.webdav.drivehq.com
- dhqidlu10mna2tuk2qfoaew.webdav.drivehq.com
- dhqido7gy8hiehwprjhli16.webdav.drivehq.com
- dhqidoakoljbb9jnbssiau2.webdav.drivehq.com
- dhqidqot3k8sh7ve2ns9nry.webdav.drivehq.com
- dhqidvdosqx8tu0vq1h1d1g.webdav.drivehq.com
- dhqidvjn6bfvi00cb0834a3.webdav.drivehq.com
- dhqidvooruijtwg0lyucl5s.webdav.drivehq.com
- dhqidwhws4rkw80f312lkpm.webdav.drivehq.com
- pdf-readonline.website
Domain Port Combinations
- gainesboro.duckdns.org:30277
URLs
- http://172.245.244.118/home.html
- http://172.245.244.118/Quote.html
- http://internetshortcuts.link/VdXiIRQo/payload.iso
- http://seductivewomen.co.uk/invoice44201.html
- https://bridgefieldapartmentsapp.ie/EX
- https://bridgefieldapartmentsapp.ie/EX/index.html
- https://bridgefieldapartmentsapp.ie/home.html
- https://cargopattern.shop/home/home.html
- https://cargopattern.shop/page.html
- https://chemaxes.com/Invoice-Payment.html
- https://designwebexpress.com/Invoice.html
- https://designwebexpress.com/Invoice_3211.html
- https://designwebexpress.com/Invoice_3221.html
- https://designwebexpress.com/Invoice_4221.html
- https://designwebexpress.com/Invoice_5221.html
- https://designwebexpress.com/Invoice_6211.html
- https://efghij.za.com/Invoice_662243.html
- https://efghij.za.com/Invoice_72638.html
- https://efghij.za.com/Invoice_898277.html
- https://fashionstylist.za.com/Invoice_0020317.html
- https://fashionstylist.za.com/Invoice_82637.html
- https://fashionstylist.za.com/Invoice_898277.html
- https://landtours.rs/BB/index.html
- https://lfomessi.za.com/home.html
- https://reasypay.sa.com/Invoice5691.html
- https://shorturl.at/asAFO
- https://transfer.sh/get/Ja9CVWbDzf/invoice.zip
- https://www.cttuae.com/ems/page.html
- https://www.shorturl.at/asAFO
SHA256
- 0764a24f94d829a625cca37f92863a84553db77469b68eadf875e73fcf0d3036
- 09dc1f4a21f9b36a0ceeef791d2bf3463299d172712943139ace33d476d7d7c2
- 0b28a2dcb365ac02b7d6c3928d5a1cfdd5ed669206eb176ab65ebb6084b58545
- 1598486e69f94e221dcbd02b10bb33352baf5886db9c06475470159ab16eadbd
- 15f8dd0880d76be36de65dd8412d7171d2cc00c35d3461452dfdae2f657aaf31
- 188baeb6bf2b009adc2efb648b068be71d5b55d1d11e000c473b429f3dda4a86
- 19cd76a94c55380cc6b053b05eb8896fa1329f03d65a7937225196c356bb0c6a
- 19e75218473b112e65cec4c2c5afd0c3cc6b4fb8f847127018e0815bd64b6480
- 1b004980738e868605f88d6b764f72d0d6c50fddea3a7bdf4508ff3057501562
- 1c450bca78ecf77fc5c9b03ced93f5410f03804fcbf17c9c5e584770eec03403
- 25f616a8bce8578219bc884a64d1a3bc60ec87f07cdff8da3c386ae5b49445a9
- 2b84ab32982a3f9cc03dd4f020751dcaaf8ad5ef32d0e7975a0b1d17045ee07e
- 2da9b5bef5ced856c6367e990dc2bf0424ad2c551016c3f1d2068b9284310e53
- 31038f7ee74463661addd7378b26076898e20d19e69f672f829af07b8ff816a9
- 388f736c54cb1e57d5877d35da5ecdcf46b88ad2e44ca5d2ecffa0dcf0e1b8d9
- 3d87877bfb6da476da1f51410416bef22cc216d941c79268f6de17d8dde1c0b8
- 3dfc781c1b656925b91a22b48b85b6ce2bf8f9cb9c1288be6ec3b760f6f7402d
- 40f99a875efa382cc0cae003c7b3b0519a7fcaa10a95989103b1e3e2bb20832a
- 41960d1cd749289ff40a1c92970706ead76f73fb3b61276a2f34a7ac38f989c6
- 437b82a5533485ce26a8b983cffa787e629120422e49b28a2608337158c883fc
- 45cd3d4ec91bf68bc975d99d90612e459aeb4a0f31321a440d7d41fcdea798f3
- 47097f706f72ac8979bfd846d779f3c520f47241b83563dbbcf0e4df94805a21
- 485d446c5892b931c0a3a238dca84bebb787052c877deb73f02ae5ee5632de9d
- 4867eebb0f6bca553c7d50e878e3cb19f7471c1c89cbd85f49b6d50f7a44e779
- 4c1cb32e0a142d55997a55bfc239e4b5b31a6e021014d023d5ff9787948490df
- 4d8ff026a14c03fc7fce40fe5bb9c287320f66102693e74e40a48247999f4a0a
- 4daafeb8ae95460be3ef93577983db33cca28ecb67fff9b958a7f71ae17504bf
- 4f8ba8eec38e117fa323bc24074993a7f1cc31c5ce112f9c6696c724628f53dc
- 52cebb58ec92cf411ea8482502d8aea3580ded02edc1482609283e0dff541dec
- 540744100c8a0eba6c4d24fcee5df40a274ecd51f33c41e11dbe482bd32d271d
- 56a2692cbde566ca149ef196f9bf4f843839f36ebfdb8acd47acaf2cd01703e9
- 58addf5e77b1dd45ead377c2a8d52b12a0db4edbc607f17b650c27428e24bbfd
- 597f58f1ec035d553dc5f5e9e0d0d0ed656a2488f5f93c30bf528278b3d615a1
- 5a47b18066d8dcd0fbc524f529002cf0a270d8394de928e8426fa06959a82704
- 5b7fdc6714e6e2f7f91a1b895204d630561f1f1431636875f6a270f3db06a55b
- 5be46ac9b6fd4d07db8710315b6fa8597464756005235472cf1562a0398921bf
- 5c31f5cfa003b1f745eb5019d76aa43f06a7d46c6403eeb2deabd44ee1a1a97a
- 5d7e304d77bedb970a1c9a5b3aa6f5c4252825c9c0a94fe60ec56a0f1b2664b5
- 6643aba0f5318fe279c1cae871ec32540b65265a68fb98aedae5a6fc0707b3c7
- 6e7f4d594ee4f5d5f08321ede7c32e51d72acbd0700f37c621f9145d8c86309d
- 72a79351d602ce6a1d0267bcd6d57c17cd8adc44c78197138cc3be5f4100b5b6
- 7316651d2e38599d6e46a1ac52dff4eee7ae16f22e87cd244efb9a6ed748f358
- 776d7ce582c1e3af65b60073986c78da394cbbab1bf6b83a6c0d736c58d33758
- 7a69202cb54dd828736d63dae6b948fcef815658859f1d10220727d242eb6fd4
- 7c1aa45ce5d254ffaefea8396128a55318bf937fbb3400b327f5dc528134730d
- 811bba52ccee8ee0dce9f96f402a7c33427622276028bfb5e9d661130fa0e3fc
- 83c8f1d9b27d9e455ad2602b1005f6837ac6040cf61acc3124f7179fd5894d27
- 84d9b5159f937e5f1c98e221d23546fb38775097e983fb660144b4d4a8955582
- 88aeb09dcc59858c9969b7ae1e0e2b58f0aa90b2d27a5edfe9cd82e602ed5952
- 8a22b626a893ed2bcf9f63ffe5dcb2198f7d5dc991b5cec434e8b0f050ebbfeb
- 901dd6b7fb5aae90840191eb5e0b8e2578503feaef93fd58b99a3314a2008b4b
- 90202f38f8c813d2e09063432542573e3e7792b9111f2c56d12a451c9dd25b48
- 904343ba2502d390b36403181e77192a62f31e98c87eb91906fbae27019b4c0d
- 923c2a87d2321c3fb172d8998574f4d2695e6c8f5f5d5d568c26aefb5fe2d198
- 9466d718154c26b8d003b99faff2a8868e2a26788e2946b68245e6dfe54da610
- 964f9489714241afd3c422eb164fe96dfe72c12ab1d3f58613694f73bc7e839e
- 9851dbd8a7e9b52e6745b7fb2ff854ce573d4a56be0cd0b700a30eca15e331e5
- 98ab2fc44063d4e00f221e502419d9cca598fafb9e1e00352149327267604bc1
- 9b5c8b82828c0aa94956671b3b9f2a6ec4f34a642d621938e86bffe9ce8b1acb
- a2144301067495656391aaa937e47b27706d7db8ea7fd12412e7796196f91fe8
- a3f5a76a50819ed856e22e690989f4e0b1bf6c88bab3d989868700cafa26c4b7
- a531edd712eb0beabe14cb4e9ff91dc7635b743e71b6fdc20ec4c0247eccff62
- a9f132dc514d4598a29d004a38e71d3a389e43b46149a36314d2f55e20e1ebb6
- afff3e377a5c13a9707680ed926c15718eeb2d3b4d9dcf0993019b3766fc16aa
- b26144c6e42601f1f1be09ece7c7fcb127637db3b953065648d1b1f371da7e8a
- b4bded423c23574c5080f449d7c92c95b7aa480fedb756568d7280db3ec80cf0
- b5b3747f8b0d11b5217a7a39c2420fb5a0c1044c82cbe9cba596dacf521a1a01
- b8998dff4684d815538b1c57c3bba0f9914f8436fde99ddedc1e9b1e658dabcb
- bbaf94b8be1c355328e5db962577b26ae73f9c3fbf81e6892019bffbf0513698
- bd33b3aa897df0702913dbecd5ad2f7e63df11f4c2a7e461dad7f89abe218a45
- c1cae7181fab03d16c8e10dbe0993319dca6597e2a2f28ba07014d64f996a1fa
- c2f10c9556eecd1ffe67e763190c630262dfdb593245357283b02df2b4d696de
- c519d06e252a1cf04f8fb38f20c76a39363e51bf31864bac638f662a698b244e
- c7bdce98567809f96907d5a005ae7ff8295c63b9d93aa2a9846f903d688fd657
- c8c5386fef1b6e45e02323f3a45b1e73b5d5be60a8a5f5ebe3b95bce77b03167
- c91527db707347d7970e8197c8a11446c40d945adfb47eb68f666b02f56d8c22
- ce3cfcc3cd86936aff5d43de6f0298cc8f0c5cfd7675d951dd23de53c3b8b154
- cef2c8a040fe4d27843f601b76c13169fcc0f1d5c7f20e71e830967dffa89baa
- d0b0f7842587afe7e23fc0218fd0a391996e72b1a804a6bfc33e97d9aecb6b2e
- d626716fe7b26f3299438cca864216c3dacadaba145ce2decc2eededb3d4bf38
- d6fcf0bcebcac7aa5e7b21b189dbd89f314f79871b770911a7d7b780207fb83d
- d99ed5b55440cefd33047490937b9b729f6b7a93bcb7d3877d07391fbec2a13a
- d9b56c6bf2c52116855a79e0008b6cfd7baef20e5af06ba142f774c8bf3b7401
- db27ba01238ce49683b68bc9c2b925caac6008ae178d14c0dce4cce161bde746
- dd28b5740c0fb2890a7579d75c65cf09a36ba5d9fc5df5c9581771e40420f35b
- de0a1c35121a6e08bf07267aca78fb8fe9c46ead95ed1acebfb3a77b72e869b8
- e3d4c11ea01f0b927bac052aa01e246cd2890445d848a7abe4b03882cccaaaf7
- ea2c8d68c83a93b4f526d2bdb25aa20920b43b7985b9bb8a8109912b74adf1df
- ed34e71d2fcae823b130a7e54a4404c15e34060e45c73654d16f34c799f91509
- f0f932c136c2d34b0f9da7a83e1a2f87063ea2bce48d3a9af004189bf49d98d9
- f21010eb8c0f2fd23c4ee941a394853597bfb90527f43f3c61bf6ce004b7f367
- f214a42d57e88b6d77b036934cf93fb9c9126335925bdafc9bb8a326abe2d652
- f2c577360fbf36859eeb194970f734810f2954493e5428d71add4edb6c11c4f1
- f493a5a65d460bd53b05fde1ee5562db08e52c34989321a9bd09ecc5dc3f4d6d
- f4b055a61d096e2f111bdaf7b171719188c02d74fa946dabdae0bbc72671d2db
- f80caed9f1b4d71e61a2869c240206f55c44fb9075d4da283df0bcedf7a11d3a
- fad17294a3fd687d75f49040c837af39ca2bb9ea84e022aa750e81ddc4cd1583
- fc226deb01a8d15acf98fd6e9daa3d95b73687f46e9029523fd7e8fe8ad5fb83
- fe6a8beb35f9550615cb3190b1b207bbe11c23a16248644c09ba0d007822c132