Operasi Phising Penyalahgunaan Pencarian Windows
Operasi Phising Penyalahgunaan Pencarian Windows kini menjadi ancaman baru di dunia siber, Ancaman phising ini memenfaatkan protokol search Windows.
Kegiatan operasi phising baru tersebut menggunakan lampiran HTML yang menyalahgunakan protokol pencarian Windows (search-ms URI) yang sangat berbahaya.
Fungsi dari protokol pencarian Windows tersebut adalah untuk mendorong file batch yang dihosting di server jarak jauh yang mengirimkan malware.
|
Baca juga: Operasi Phising Postingan Facebook |
Operasi Phising Penyalahgunaan Pencarian Windows
Protokol Pencarian Windows adalah Uniform Resource Identifier (URI) yang memungkinkan aplikasi membuka Windows Explorer untuk melakukan pencarian menggunakan parameter tertentu.
Meskipun sebagian besar pencarian Windows akan melihat indeks perangkat lokal, ada juga kemungkinan untuk memaksa Pencarian Windows untuk menanyakan pembagian file pada host jarak jauh dan menggunakan judul khusus untuk jendela pencarian.
Pelaku dapat mengeksploitasi fungsi ini untuk berbagi file berbahaya di server jarak jauh, seperti yang pertama kali disoroti oleh Prof. Martin Johns dalam tesisnya pada tahun 2020.
Pada bulan Juni 2022, peneliti keamanan merancang rantai serangan ampuh yang juga mengeksploitasi kelemahan Microsoft Office untuk meluncurkan pencarian langsung dari dokumen Word.
Peneliti kini melaporkan bahwa teknik ini digunakan oleh pelaku yang menggunakan lampiran HTML untuk meluncurkan pencarian Windows di server pelaku.
|
Baca juga: Operasi Malvertisasi Google Penelusuran |
Menyalahgunakan Pencarian Windows
Serangan baru-baru ini dimulai dengan email berbahaya yang membawa lampiran HTML yang disamarkan sebagai dokumen faktur yang ditempatkan dalam arsip ZIP kecil.
ZIP membantu menghindari pemindai keamanan/AV yang mungkin tidak mengurai arsip untuk konten berbahaya.
File HTML menggunakan tag <meta http-equiv= “refresh”> yang menyebabkan browser secara otomatis membuka URL berbahaya ketika dokumen HTML dibuka.
Jika refresh meta gagal karena pengaturan browser memblokir pengalihan atau alasan lainnya, tag jangkar menyediakan tautan yang dapat diklik ke URL berbahaya, yang bertindak sebagai mekanisme cadangan. Namun hal ini memerlukan tindakan pengguna.
|
Baca juga: ESET Bongkar Operasi Jahat Statinko |
URL Progressive Web App
Dalam hal ini, URL-nya adalah untuk protokol Pencarian Windows untuk melakukan pencarian pada host jarak jauh menggunakan parameter berikut:
- Kueri: Menelusuri item berlabel “INVOICE”.
- Crumb: Menentukan cakupan pencarian, menunjuk ke server jahat melalui Cloudflare.
- Nama Tampilan: Mengganti nama tampilan pencarian menjadi “Unduhan” untuk meniru antarmuka yang sah.
- Lokasi: Menggunakan layanan kanal Cloudflare untuk menutupi server, membuatnya tampak sah dengan menampilkan sumber daya jarak jauh sebagai file lokal.
Selanjutnya, pencarian mengambil daftar file dari server jarak jauh, menampilkan satu file pintasan (LNK) yang diberi nama sebagai faktur. Jika file diklik, skrip batch (BAT) yang dihosting di server yang sama akan dipicu.
Namun belum dapat ditentukan apa yang dilakukan BAT, karena server sedang down pada saat analisis mereka, namun potensi operasi berisiko tinggi.
Untuk bertahan dari ancaman ini, direkomendasikan menghapus entri registri yang terkait dengan protokol URI search-ms/search dengan menjalankan perintah berikut:
- reg hapus HKEY_CLASSES_ROOT\search /f
- reg hapus HKEY_CLASSES_ROOT\search-ms /f
Namun, hal ini harus dilakukan dengan hati-hati, karena hal ini juga akan mencegah aplikasi sah dan fitur Windows terintegrasi yang mengandalkan protokol ini, agar tidak berfungsi sebagaimana mestinya.
Sumber berita:
