Operasi phising dengan trik penyalahgunaan pencarian Windows diketahui baru-baru ini cukup meresahkan bagi pengguna Windows di seluruh dunia.
Operasi ini menggunakan lampiran HTML yang menyalahgunakan protokol pencarian Windows (search-ms URI) untuk mendorong file batch yang dihosting di server jarak jauh yang mengirimkan malware.
Protokol Pencarian Windows adalah Uniform Resource Identifier (URI) yang memungkinkan aplikasi membuka Windows Explorer untuk melakukan pencarian menggunakan parameter tertentu.
Meskipun sebagian besar pencarian Windows akan melihat indeks perangkat lokal, ada juga kemungkinan untuk memaksa Pencarian Windows untuk menanyakan pembagian file pada host jarak jauh dan menggunakan judul khusus untuk jendela pencarian.
Pelaku dapat mengeksploitasi fungsi ini untuk berbagi file berbahaya di server jarak jauh, seperti yang pertama kali disoroti oleh Prof. Martin Johns dalam tesisnya pada tahun 2020.
Pada bulan Juni 2022, peneliti keamanan merancang rantai serangan ampuh yang juga mengeksploitasi kelemahan Microsoft Office untuk meluncurkan pencarian langsung dari dokumen Word.
Peneliti kini melaporkan bahwa teknik ini digunakan oleh pelaku yang menggunakan lampiran HTML untuk meluncurkan pencarian Windows di server pelaku.
Menyalahgunakan Pencarian Windows
Serangan baru-baru ini dimulai dengan email berbahaya yang membawa lampiran HTML yang disamarkan sebagai dokumen faktur yang ditempatkan dalam arsip ZIP kecil.
ZIP membantu menghindari pemindai keamanan/AV yang mungkin tidak mengurai arsip untuk konten berbahaya.
File HTML menggunakan tag <meta http-equiv= “refresh”> yang menyebabkan browser secara otomatis membuka URL berbahaya ketika dokumen HTML dibuka.
Jika refresh meta gagal karena pengaturan browser memblokir pengalihan atau alasan lainnya, tag jangkar menyediakan tautan yang dapat diklik ke URL berbahaya, yang bertindak sebagai mekanisme cadangan. Namun hal ini memerlukan tindakan pengguna.
Protokol Pencarian Windows
Dalam hal ini, URL-nya adalah untuk protokol Pencarian Windows untuk melakukan pencarian pada host jarak jauh menggunakan parameter berikut:
- Kueri: Menelusuri item berlabel “INVOICE”.
- Crumb: Menentukan cakupan pencarian, menunjuk ke server jahat melalui Cloudflare.
- Nama Tampilan: Mengganti nama tampilan pencarian menjadi “Unduhan” untuk meniru antarmuka yang sah.
- Lokasi: Menggunakan layanan kanal Cloudflare untuk menutupi server, membuatnya tampak sah dengan menampilkan sumber daya jarak jauh sebagai file lokal.
Selanjutnya, pencarian mengambil daftar file dari server jarak jauh, menampilkan satu file pintasan (LNK) yang diberi nama sebagai faktur. Jika korban mengklik file tersebut, skrip batch (BAT) yang dihosting di server yang sama akan dipicu.
Namun belum dapat ditentukan apa yang dilakukan BAT, karena server sedang down pada saat analisis mereka, namun potensi operasi berisiko tinggi.
Untuk bertahan dari ancaman ini, direkomendasikan untuk menghapus entri registri yang terkait dengan protokol URI search-ms/search dengan menjalankan perintah berikut:
- reg hapus HKEY_CLASSES_ROOT\pencarian /f
- reg hapus HKEY_CLASSES_ROOT\search-ms /f
Namun, hal ini harus dilakukan dengan hati-hati, karena hal ini juga akan mencegah aplikasi sah dan fitur Windows terintegrasi yang mengandalkan protokol ini, agar tidak berfungsi sebagaimana mestinya.
Baca lainnya:
- Hacker Buru Pengguna Zimbra
- Perusahaan Indonesia Host RaaS Paling Berbahaya di Dunia
- Lawas Salah Satu Dasar Kerentanan
- Subyek Umum dalam Phising
- Remote Access Phising
- Ajang Pengelabuan Saat Berlibur
- Pengelabuan Eksploitasi TLD
- Dominasi Business Email Compromise
- Investigasi Serangan Phising
Sumber berita: