Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Operasi Phising Penyalahgunaan Pencarian Windows
  • Teknologi

Operasi Phising Penyalahgunaan Pencarian Windows

3 min read
Operasi Phising Penyalahgunaan Pencarian Windows

image credit: Pixabay.com

Operasi Phising Penyalahgunaan Pencarian Windows kini menjadi ancaman baru di dunia siber, Ancaman phising ini memenfaatkan protokol search Windows.

Kegiatan operasi phising baru tersebut menggunakan lampiran HTML yang menyalahgunakan protokol pencarian Windows (search-ms URI) yang sangat berbahaya.

Fungsi dari protokol pencarian Windows tersebut adalah untuk mendorong file batch yang dihosting di server jarak jauh yang mengirimkan malware.

Baca juga: Operasi Phising Postingan Facebook

Operasi Phising Penyalahgunaan Pencarian Windows

Protokol Pencarian Windows adalah Uniform Resource Identifier (URI) yang memungkinkan aplikasi membuka Windows Explorer untuk melakukan pencarian menggunakan parameter tertentu.

Meskipun sebagian besar pencarian Windows akan melihat indeks perangkat lokal, ada juga kemungkinan untuk memaksa Pencarian Windows untuk menanyakan pembagian file pada host jarak jauh dan menggunakan judul khusus untuk jendela pencarian.

Pelaku dapat mengeksploitasi fungsi ini untuk berbagi file berbahaya di server jarak jauh, seperti yang pertama kali disoroti oleh Prof. Martin Johns dalam tesisnya pada tahun 2020.

Pada bulan Juni 2022, peneliti keamanan merancang rantai serangan ampuh yang juga mengeksploitasi kelemahan Microsoft Office untuk meluncurkan pencarian langsung dari dokumen Word.

Peneliti kini melaporkan bahwa teknik ini digunakan oleh pelaku yang menggunakan lampiran HTML untuk meluncurkan pencarian Windows di server pelaku.

Baca juga: Operasi Malvertisasi Google Penelusuran

Menyalahgunakan Pencarian Windows

Serangan baru-baru ini dimulai dengan email berbahaya yang membawa lampiran HTML yang disamarkan sebagai dokumen faktur yang ditempatkan dalam arsip ZIP kecil.

ZIP membantu menghindari pemindai keamanan/AV yang mungkin tidak mengurai arsip untuk konten berbahaya.

File HTML menggunakan tag <meta http-equiv= “refresh”> yang menyebabkan browser secara otomatis membuka URL berbahaya ketika dokumen HTML dibuka.

Jika refresh meta gagal karena pengaturan browser memblokir pengalihan atau alasan lainnya, tag jangkar menyediakan tautan yang dapat diklik ke URL berbahaya, yang bertindak sebagai mekanisme cadangan. Namun hal ini memerlukan tindakan pengguna.

Baca juga: ESET Bongkar Operasi Jahat Statinko

URL Progressive Web App

Dalam hal ini, URL-nya adalah untuk protokol Pencarian Windows untuk melakukan pencarian pada host jarak jauh menggunakan parameter berikut:

  • Kueri: Menelusuri item berlabel “INVOICE”.
  • Crumb: Menentukan cakupan pencarian, menunjuk ke server jahat melalui Cloudflare.
  • Nama Tampilan: Mengganti nama tampilan pencarian menjadi “Unduhan” untuk meniru antarmuka yang sah.
  • Lokasi: Menggunakan layanan kanal Cloudflare untuk menutupi server, membuatnya tampak sah dengan menampilkan sumber daya jarak jauh sebagai file lokal.

Selanjutnya, pencarian mengambil daftar file dari server jarak jauh, menampilkan satu file pintasan (LNK) yang diberi nama sebagai faktur. Jika file diklik, skrip batch (BAT) yang dihosting di server yang sama akan dipicu.

Namun belum dapat ditentukan apa yang dilakukan BAT, karena server sedang down pada saat analisis mereka, namun potensi operasi berisiko tinggi.

Untuk bertahan dari ancaman ini, direkomendasikan menghapus entri registri yang terkait dengan protokol URI search-ms/search dengan menjalankan perintah berikut:

  • reg hapus HKEY_CLASSES_ROOT\search /f
  • reg hapus HKEY_CLASSES_ROOT\search-ms /f

Namun, hal ini harus dilakukan dengan hati-hati, karena hal ini juga akan mencegah aplikasi sah dan fitur Windows terintegrasi yang mengandalkan protokol ini, agar tidak berfungsi sebagaimana mestinya.

 

 

 

Baca lainnya: 

  • ESET Ambil Bagian dalam Operasi Penumpasan Botnet ZLoader
  • Operasi Penipuan Siber Incar Perbankan Asia Tenggara
  • Operasi Serangan Email Paling Umum di Dunia
  • Pencuri Dokumen Rahasia XDSpy 9 Tahun Beroperasi Tanpa Diketahui
  • Berhenti Operasi, Grandcab Reinkarnasi dalam Wujud Lain
  • ESET Bongkar Operasi Aplikasi Adware yang Diinstal 8 Juta Kali
  • Penjahat Siber Gunakan Malware Murahan untuk Operasi Siber
  • Operasi ShaddowFall Runtuhkan Infrastruktur Eksploit Kit Rig

 

 

 

Sumber berita:

 

WeLiveSecurity

Tags: antivirus Andal Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super Antivirus Super Ringan antivirus superb Antivirus Tangguh Antivirus Terbaik operasi phising windows penyelahgunaan pencarian windows phising baru Sektor Bisnis

Continue Reading

Previous: Warmcookie
Next: Progressive Web Apps Pencuri Kredensial

Related Stories

Bertahan dari Serangan Siber Bertahan dari Serangan Siber
6 min read
  • Teknologi

Bertahan dari Serangan Siber

July 8, 2025
Panduan untuk Keluarga di Era Digital Panduan untuk Keluarga di Era Digital
3 min read
  • Edukasi
  • Sektor Personal
  • Teknologi

Panduan untuk Keluarga di Era Digital

July 4, 2025
Dari ClickFix ke FileFix Dari ClickFix ke FileFix
4 min read
  • Teknologi

Dari ClickFix ke FileFix

June 26, 2025

Recent Posts

  • Modus Baru Penipuan Ancaman Callback Phising
  • Bertahan dari Serangan Siber
  • Ancaman Rantai Pasok Mengintai UMKM
  • Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru
  • Mengapa Gamer Menjadi Target Menarik bagi Penjahat Siber
  • Jebakan Siber Makin Canggih
  • 5 Kiat Menjaga Kemanan Siber Ponsel
  • Panduan untuk Keluarga di Era Digital
  • Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri
  • Keylogger Curi Kredensial di Server Microsoft Exchange

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Modus Baru Penipuan Ancaman Callback Phising Modus Baru Penipuan Ancaman Callback Phising
3 min read
  • Sektor Bisnis
  • Sektor Personal

Modus Baru Penipuan Ancaman Callback Phising

July 9, 2025
Bertahan dari Serangan Siber Bertahan dari Serangan Siber
6 min read
  • Teknologi

Bertahan dari Serangan Siber

July 8, 2025
Ancaman Rantai Pasok Mengintai UMKM Ancaman Rantai Pasok Mengintai UMKM
4 min read
  • Sektor Bisnis

Ancaman Rantai Pasok Mengintai UMKM

July 8, 2025
Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru
6 min read
  • Mobile Security
  • Sektor Personal

Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru

July 8, 2025

Copyright © All rights reserved. | DarkNews by AF themes.