Компания Check Point Research обнаружила, что злоумышленники используют новые методы атаки, чтобы получить удаленный доступ к компьютерам пользователей Windows. Они используют специальные файлы Windows Internet Shortcut (.url), которые при нажатии вызывают Internet Explorer (IE) для посещения определенного вредоносного URL. Злоумышленники также используют трюк, чтобы скрыть вредоносное расширение .hta. Это позволяет им эффективно эксплуатировать компьютеры пользователей, даже если на них установлена современная операционная система Windows 10/11.
Файлы .url являются популярным вектором атаки для злоумышленников. Ранее уже были обнаружены новые уязвимости, связанные с этими файлами, такие как CVE-2023-36025. Образцы .url с вредоносным кодом были обнаружены как датированные более года назад, так и недавно. Это указывает на то, что злоумышленники используют эти методы атаки уже довольно долгое время.
Один из образцов .url использует трюк "mhtml", который был раньше использован в атаке нулевого дня CVE-2021-40444. Злоумышленники создают файл .url, который имитирует ссылку на PDF-файл, но фактически открывает опасный веб-сайт в Internet Explorer. Это особенно опасно, учитывая, что IE является устаревшим и небезопасным браузером. Microsoft уже заявила о прекращении поддержки IE и рекомендует пользователям использовать более безопасные браузеры, такие как Microsoft Edge или Google Chrome.
Однако, при открытии файла .url с трюком "mhtml", ссылка открывается в IE, а не в обычном браузере, что открывает двери для злоумышленников. Они могут использовать уязвимости в IE для различных вредоносных действий. Важно отметить, что IE все еще является частью операционной системы Windows и может быть уязвимым, несмотря на объявление его "снятым с производства и не поддерживаемым". Поэтому пользователи не должны открывать веб-сайты с помощью IE по умолчанию.
Таким образом, использование вредоносных файлов .url и трюка "mhtml" позволяет злоумышленникам обходить современные системы безопасности и эффективно атаковать компьютеры пользователей Windows. Пользователи должны быть предельно осторожны при открытии файлов .url и рекомендуется использовать современные и безопасные браузеры, такие как Microsoft Edge или Google Chrome, для доступа к веб-сайтам.
Indicators of Compromise
SHA256
- 22e2d84c2a9525e8c6a825fb53f2f30621c5e6c68b1051432b1c5c625ae46f8c
- 65142c8f490839a60f4907ab8f28dd9db4258e1cfab2d48e89437ef2188a6e94
- b16aee58b7dfaf2a612144e2c993e29dcbd59d8c20e0fd0ab75b76dd9170e104
- bd710ee53ef3ad872f3f0678117050608a8e073c87045a06a86fb4a7f0e4eff0
- bfd59ed369057c325e517b22be505f42d60916a47e8bdcbe690210a3087d466d
- c9f58d96ec809a75679ec3c7a61eaaf3adbbeb6613d667257517bdc41ecca9ae
