Een nieuwe phishing-campagne maakt gebruik van HTML-bijlagen die het Windows-zoekprotocol (search-ms URI) misbruiken om batchbestanden die op externe servers worden gehost te pushen en malware te leveren.

Het Windows-zoekprotocol is een Uniform Resource Identifier (URI) waarmee applicaties Windows Verkenner kunnen openen om zoekopdrachten uit te voeren met specifieke parameters.

Hoewel de meeste Windows-zoekopdrachten de index van het lokale apparaat doorzoeken, is het ook mogelijk om Windows Zoeken te dwingen om bestandsdeling op externe hosts te doorzoeken en een aangepaste titel voor het zoekvenster te gebruiken.

Aanvallers kunnen deze functionaliteit misbruiken om schadelijke bestanden op externe servers te delen, zoals Prof. Dr. Martin Johns voor het eerst benadrukte in een thesis uit 2020.

In juni 2022 bedachten beveiligingsonderzoekers een krachtige aanvalsketen die ook een fout in Microsoft Office exploiteerde om zoekopdrachten rechtstreeks vanuit Word-documenten te starten.

Onderzoekers van Trustwave SpiderLabs melden nu dat deze techniek in de praktijk wordt gebruikt door dreigingsactoren die HTML-bijlagen gebruiken om Windows-zoekopdrachten op de servers van de aanvallers te starten.

Misbruik van Windows Zoekopdrachten

De recente aanvallen beschreven in het Trustwave-rapport beginnen met een kwaadaardige e-mail met een HTML-bijlage die vermomd is als een factuurdocument in een klein ZIP-archief. De ZIP helpt bij het omzeilen van beveiligings-/AV-scanners die mogelijk geen archieven analyseren op kwaadaardige inhoud.

Het HTML-bestand gebruikt de tag om de browser automatisch een kwaadaardige URL te laten openen wanneer het HTML-document wordt geopend.

Als de meta-refresh faalt door browserinstellingen die omleidingen blokkeren of om andere redenen, biedt een anker-tag een klikbare link naar de kwaadaardige URL, die als terugvalmechanisme dient. Dit vereist echter wel actie van de gebruiker.

In dit geval is de URL voor het Windows-zoekprotocol om een zoekopdracht op een externe host uit te voeren met de volgende parameters:

• Query: Zoekt naar items met de label “FACTUUR.”
• Crumb: Geeft de zoekomvang aan, die verwijst naar een kwaadaardige server via Cloudflare.
• Displayname: Wijzigt de zoekweergavenaam naar “Downloads” om een legitieme interface te imiteren.
• Location: Gebruikt Cloudflare’s tunneldienst om de server te maskeren, waardoor deze legitiem lijkt door externe bronnen als lokale bestanden te presenteren.

Vervolgens haalt de zoekopdracht de lijst met bestanden van de externe server op en toont een enkel snelkoppeling (LNK) bestand met de naam als een factuur. Als het slachtoffer op het bestand klikt, wordt een batchscript (BAT) op dezelfde server geactiveerd.

Trustwave kon niet vaststellen wat de BAT doet, aangezien de server tijdens hun analyse offline was, maar de kans op riskante operaties is groot.

Ter verdediging tegen deze dreiging raadt Trustwave aan om registervermeldingen die verband houden met het search-ms/zoek URI-protocol te verwijderen door de volgende opdrachten uit te voeren:

reg delete HKEY_CLASSES_ROOTsearch /f
reg delete HKEY_CLASSES_ROOTsearch-ms /f

Dit moet echter voorzichtig gebeuren, omdat dit ook zou voorkomen dat legitieme applicaties en geïntegreerde Windows-functies die afhankelijk zijn van dit protocol correct functioneren.