Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Operasi Phising Penyalahgunaan Pencarian Windows
  • Teknologi

Operasi Phising Penyalahgunaan Pencarian Windows

3 min read
Operasi Phising Penyalahgunaan Pencarian Windows

image credit: Pixabay.com

Operasi Phising Penyalahgunaan Pencarian Windows kini menjadi ancaman baru di dunia siber, Ancaman phising ini memenfaatkan protokol search Windows.

Kegiatan operasi phising baru tersebut menggunakan lampiran HTML yang menyalahgunakan protokol pencarian Windows (search-ms URI) yang sangat berbahaya.

Fungsi dari protokol pencarian Windows tersebut adalah untuk mendorong file batch yang dihosting di server jarak jauh yang mengirimkan malware.

Baca juga: Operasi Phising Postingan Facebook

Operasi Phising Penyalahgunaan Pencarian Windows

Protokol Pencarian Windows adalah Uniform Resource Identifier (URI) yang memungkinkan aplikasi membuka Windows Explorer untuk melakukan pencarian menggunakan parameter tertentu.

Meskipun sebagian besar pencarian Windows akan melihat indeks perangkat lokal, ada juga kemungkinan untuk memaksa Pencarian Windows untuk menanyakan pembagian file pada host jarak jauh dan menggunakan judul khusus untuk jendela pencarian.

Pelaku dapat mengeksploitasi fungsi ini untuk berbagi file berbahaya di server jarak jauh, seperti yang pertama kali disoroti oleh Prof. Martin Johns dalam tesisnya pada tahun 2020.

Pada bulan Juni 2022, peneliti keamanan merancang rantai serangan ampuh yang juga mengeksploitasi kelemahan Microsoft Office untuk meluncurkan pencarian langsung dari dokumen Word.

Peneliti kini melaporkan bahwa teknik ini digunakan oleh pelaku yang menggunakan lampiran HTML untuk meluncurkan pencarian Windows di server pelaku.

Baca juga: Operasi Malvertisasi Google Penelusuran

Menyalahgunakan Pencarian Windows

Serangan baru-baru ini dimulai dengan email berbahaya yang membawa lampiran HTML yang disamarkan sebagai dokumen faktur yang ditempatkan dalam arsip ZIP kecil.

ZIP membantu menghindari pemindai keamanan/AV yang mungkin tidak mengurai arsip untuk konten berbahaya.

File HTML menggunakan tag <meta http-equiv= “refresh”> yang menyebabkan browser secara otomatis membuka URL berbahaya ketika dokumen HTML dibuka.

Jika refresh meta gagal karena pengaturan browser memblokir pengalihan atau alasan lainnya, tag jangkar menyediakan tautan yang dapat diklik ke URL berbahaya, yang bertindak sebagai mekanisme cadangan. Namun hal ini memerlukan tindakan pengguna.

Baca juga: ESET Bongkar Operasi Jahat Statinko

URL Progressive Web App

Dalam hal ini, URL-nya adalah untuk protokol Pencarian Windows untuk melakukan pencarian pada host jarak jauh menggunakan parameter berikut:

  • Kueri: Menelusuri item berlabel “INVOICE”.
  • Crumb: Menentukan cakupan pencarian, menunjuk ke server jahat melalui Cloudflare.
  • Nama Tampilan: Mengganti nama tampilan pencarian menjadi “Unduhan” untuk meniru antarmuka yang sah.
  • Lokasi: Menggunakan layanan kanal Cloudflare untuk menutupi server, membuatnya tampak sah dengan menampilkan sumber daya jarak jauh sebagai file lokal.

Selanjutnya, pencarian mengambil daftar file dari server jarak jauh, menampilkan satu file pintasan (LNK) yang diberi nama sebagai faktur. Jika file diklik, skrip batch (BAT) yang dihosting di server yang sama akan dipicu.

Namun belum dapat ditentukan apa yang dilakukan BAT, karena server sedang down pada saat analisis mereka, namun potensi operasi berisiko tinggi.

Untuk bertahan dari ancaman ini, direkomendasikan menghapus entri registri yang terkait dengan protokol URI search-ms/search dengan menjalankan perintah berikut:

  • reg hapus HKEY_CLASSES_ROOT\search /f
  • reg hapus HKEY_CLASSES_ROOT\search-ms /f

Namun, hal ini harus dilakukan dengan hati-hati, karena hal ini juga akan mencegah aplikasi sah dan fitur Windows terintegrasi yang mengandalkan protokol ini, agar tidak berfungsi sebagaimana mestinya.

 

 

 

Baca lainnya: 

  • ESET Ambil Bagian dalam Operasi Penumpasan Botnet ZLoader
  • Operasi Penipuan Siber Incar Perbankan Asia Tenggara
  • Operasi Serangan Email Paling Umum di Dunia
  • Pencuri Dokumen Rahasia XDSpy 9 Tahun Beroperasi Tanpa Diketahui
  • Berhenti Operasi, Grandcab Reinkarnasi dalam Wujud Lain
  • ESET Bongkar Operasi Aplikasi Adware yang Diinstal 8 Juta Kali
  • Penjahat Siber Gunakan Malware Murahan untuk Operasi Siber
  • Operasi ShaddowFall Runtuhkan Infrastruktur Eksploit Kit Rig

 

 

 

Sumber berita:

 

WeLiveSecurity

Tags: antivirus Andal Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super Antivirus Super Ringan antivirus superb Antivirus Tangguh Antivirus Terbaik operasi phising windows penyelahgunaan pencarian windows phising baru Sektor Bisnis

Continue Reading

Previous: Warmcookie
Next: Progressive Web Apps Pencuri Kredensial

Related Stories

Dari ClickFix ke FileFix Dari ClickFix ke FileFix
4 min read
  • Teknologi

Dari ClickFix ke FileFix

June 26, 2025
Mode Incoqnito Fungsi dan Batasan Mode Incoqnito Fungsi dan Batasan
5 min read
  • Teknologi

Mode Incoqnito Fungsi dan Batasan

June 24, 2025
Ketika AI Memudahkan Penipuan Daring Ketika AI Memudahkan Penipuan Daring
5 min read
  • Sektor Personal
  • Teknologi

Ketika AI Memudahkan Penipuan Daring

June 23, 2025

Recent Posts

  • Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri
  • Keylogger Curi Kredensial di Server Microsoft Exchange
  • Dari ClickFix ke FileFix
  • Mengulas Teardrop Attack
  • Mode Incoqnito Fungsi dan Batasan
  • XSS Ancaman Tersembunyi di Webmail
  • Ratusan Malware di Github Incar Gamer dan Developer
  • Reinkarnasi Godfather Bikin Kacau Android
  • Ketika AI Memudahkan Penipuan Daring
  • Ancaman Masif ChainLink

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri
4 min read
  • Sektor Personal

Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri

June 30, 2025
Keylogger Curi Kredensial di Server Microsoft Exchange Keylogger Curi Kredensial di Server Microsoft Exchange
4 min read
  • Sektor Bisnis
  • Sektor Personal

Keylogger Curi Kredensial di Server Microsoft Exchange

June 26, 2025
Dari ClickFix ke FileFix Dari ClickFix ke FileFix
4 min read
  • Teknologi

Dari ClickFix ke FileFix

June 26, 2025
Mengulas Teardrop Attack Mengulas Teardrop Attack
4 min read
  • Sektor Bisnis
  • Sektor Personal

Mengulas Teardrop Attack

June 25, 2025

Copyright © All rights reserved. | DarkNews by AF themes.