Fitur Windows Search dieksploitasi oleh pelaku kejahatan siber yang tidak dikenal identitasnya untuk mengunduh muatan berbahaya dari server jarak jauh dan mengkompromikan sistem yang ditargetkan dengan trojan akses jarak jauh seperti AsyncRAT dan Remcos RAT .
Baca Juga: Sejumlah Situs Web Pemprov Kalteng Disusupi Situs Judi Online, Ini Tanggapan Dinas Kominfosantik
Dilansir dari Cyberthreat Id, ini merupakan teknik serangan baru yang menggunakan penangan protokol “search-ms:URI:”, yang memberikan kemampuan bagi aplikasi dan tautan HTML untuk melakukan penelusuran yang dilokalkan khusus perangkat dan protokol aplikasi”search:”, sebuah mekanisme untuk menjalankan aplikasi pencarian desktop di Windows.
“Penyerang mengarahkan ulang pengguna ke situs web yang mengeksploitasi fitur ‘search-ms’ menggunakan JavaScript yang dihosting di halaman itu,” kata peneliti keamanan Mathanraj Thangaraju dan Sijo Jacob.
“Teknik ini bahkan telah diperluas ke lampiran HTML, memperluas permukaan serangan.”
Dalam serangan ini, pelaku kejahatan diamati membuat email phishing yang menyematkan hyperlink atau lampiran HTML yang berisi URL yang mengarahkan pengguna ke situs web yang disusupi.
Ini memicu eksekusi JavaScript yang menggunakan penangan protokol URI untuk melakukan pencarian di server yang dikontrol penyerang. Perlu juga dicatat bahwa mengeklik tautan juga menghasilkan peringatan “Buka Windows Explorer?”, yang setuju maka hasil pencarian untuk file pintasan berbahaya yang dihosting dari jarak jauh yang ditampilkan di Windows Explorer disamarkan. Halaman ini akan tampil sebagai file PDF atau ikon tepercaya lainnya, seperti hasil pencarian lokal.
Baca Juga: Fourtrezz: Meningkatkan Kesadaran Keamanan Informasi Digital dalam Era Digitalisasi
“Teknik pintar ini menyembunyikan fakta bahwa pengguna memiliki file jarak jauh dan memberi mereka ilusi kepercayaan. Akibatnya, pengguna lebih cenderung membuka file, dengan asumsi itu dari sistem mereka sendiri dan secara tidak sengaja mengeksekusi kode berbahaya.” Jelas para peneliti.
Jika korban mengklik salah satu file pintasan, itu akan mengakibatkan eksekusi pustaka tautan dinamis (DLL) berbahaya menggunakan utilitas regsvr32.exe. Dalam varian kampanye alternatif, file pintasan digunakan untuk menjalankan script PowerShell, yang mengunduh muatan tambahan di latar belakang dan menampilkan dokumen PDF tiruan untuk mengelabui korban.
Terlepas dari metode yang digunakan, proses infeksi mengarah ke penginstalan AsyncRAT dan Remcos RAT yang dapat digunakan pelaku ancaman untuk mengambil kendali server dari jarak jauh, mencuri informasi sensitif, dan bahkan menjual akses ke penyerang lain. Karena Microsoft terus mengambil langkah-langkah untuk menghilangkan berbagai vektor akses awal, diharapkan musuh dapat menggunakan metode penanganan protokol URI untuk melewati pertahanan keamanan tradisional, dan mendistribusikan malware.
“Sangat penting untuk tidak mengklik URL yang mencurigakan atau mengunduh file dari sumber yang tidak dikenal, karena tindakan ini dapat mengekspos sistem ke muatan berbahaya,” kata para peneliti yang dikirim melalui penangan protokol URI ‘search’ / ‘search’ -ms, ” kata para peneliti.
