Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Хакеры эксплуатируют функцию поиска в проводнике Windows для установки троянов удалённого доступа (http://txgate.io:443/showthread.php?t=9636)

Artifact 02-17-2025 05:24 AM

JavaScript-сценарий из браузера заманивает пользователей в хитроумную ловушку.
Эксперты в области кибербезопасности обнаружили, что злоумышленники используют легитимную функцию поиска в Windows для тайной загрузки вредоносных программ на компьютер своих жертв. Таким образом хакеры могут получить полный доступ к системе и красть конфиденциальные данные.
По данным специалистов Trellix, преступники злонамеренно испльзуют протокол «search-ms:», который позволяет приложениям и ссылкам запускать локальный поиск на устройстве пользователя.
В своих атаках злоумышленники создают фишинговые письма с вредоносными ссылками или HTML-вложениями, которые перенаправляют жертву на заражённые сайты. Там активируется JavaScript-код, использующий протокол «search-ms:» для поиска на удалённом сервере хакеров.
При клике на ссылку появляется запрос разрешения на открытие проводника Windows. Если пользователь его подтвердит, ему будут показаны якобы локальные результаты поиска — ярлыки на файлы PDF и другие привычные иконки.
https://www.securitylab.ru/upload/me...6s7w5plm32.png
JavaScript-запрос на запуск проводника
Однако на самом деле это удалённые вредоносные файлы, маскирующиеся под безопасные. Они отображаются прямо в проводнике Windows, поэтому пользователь не видит подвоха и запускает файл, думая, что он находится в его системе. Так незаметно запускается исполнение вредоносного ПО.
https://www.securitylab.ru/upload/me...xcg74j16v8.png
Вредоносный ярлык, запускающий сетевую библиотеку
При клике на ярлык выполняется зловредная DLL-библиотека через утилиту regsvr32.exe. А в альтернативном варианте атаки, также выявленными исследователями, ярлыки запускают PowerShell-скрипты, которые тайно скачивают дополнительные полезные нагрузки.
По итогу на компьютер жертвы устанавливается ПО для удалённого управления AsyncRAT или Remcos RAT, а хакеры получают полный контроль над системой, могут красть данные и продавать полученный доступ другим злоумышленникам.
Поскольку Microsoft постоянно блокирует известные методы атак, хакеры отчаянно ищут обходные пути. И эксплуатация протоколов поиска — как раз один из таких путей для обхода системных ограничений.
Эксперты рекомендуют избегать кликов по подозрительным ссылкам и загрузки файлов из неизвестных источников, чтобы не пополнить список жертв изобретательных киберпреступников.


All times are GMT. The time now is 07:29 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.