Los expertos han descubierto una campaña de cibercrimen de bajo volumen, pero muy inteligente, que abusa de la función de búsqueda de Windows para engañar a las víctimas para que descarguen malware.
La campaña fue descubierta por investigadores de ciberseguridad de Trustwave SpiderLabs, quienes la describieron como “inteligente” y de bajo volumen.
«Esta técnica oscurece hábilmente la verdadera intención del atacante, explotando la confianza que los usuarios depositan en interfaces familiares y acciones comunes como abrir archivos adjuntos de correo electrónico», dijeron los investigadores en su informe. escribir.
Tenga cuidado con su bandeja de entrada
El ataque comienza con un correo electrónico de phishing que se hace pasar por una factura o algo similar. Lleva un archivo .ZIP de un archivo HTML y, por lo tanto, evita con éxito los programas antivirus y de seguridad del correo electrónico que pasan por alto el contenido comprimido.
El archivo HTML abre el navegador y lo obliga a interactuar directamente con la función de búsqueda del Explorador de Windows. A su vez, el Explorador de Windows tiene la tarea de buscar elementos etiquetados como «FACTURA» en un directorio específico: un servidor conectado a través de Cloudflare. Además, la búsqueda cambia de nombre a «Descargas», lo que en última instancia engaña a las víctimas haciéndoles creer que en realidad estaban viendo el archivo que «descargaron» y no el archivo .ZIP.
Entre los archivos que luego se presentan a las víctimas hay un documento de acceso directo (.LNK) que apunta a un script por lotes (.BAT) alojado en el mismo servidor. Este script, si se activa, desencadena operaciones maliciosas adicionales.
Desafortunadamente, cuando comenzaron a analizar la campaña, el servidor estaba cerrado, lo que impidió a los investigadores obtener la carga útil. Por tanto, es imposible saber qué tipo de malware estaban distribuyendo los atacantes.
Para mitigar la amenaza, los usuarios pueden desactivar los controladores de protocolo search-ms/search URI eliminando las entradas de registro asociadas.
Alternativamente, deberían tener cuidado con los correos electrónicos entrantes que contienen archivos adjuntos: «A medida que los usuarios continúan navegando por un panorama de amenazas cada vez más complejo, la educación continua y las estrategias de seguridad proactivas siguen siendo primordiales para protegerse contra tácticas tan engañosas», concluyeron los investigadores.