网络钓鱼电子邮件滥用 Windows 搜索协议来推送恶意脚本

文章预览

一项新的网络钓鱼活动正滥用 Windows 搜索协议 (search-ms URI) 的 HTML 附件来推送托管在远程服务器上的批处理文件，从而传播恶意软件。 Windows Search 协议是一种统一资源标识符 (URI)，它使应用程序能够打开 Windows 资源管理器以使用特定参数执行搜索。 虽然大多数 Windows 搜索都会查看本地设备的索引，但也可以强制 Windows 搜索查询远程主机上的文件共享并使用自定义标题作为搜索窗口。 攻击者可以利用此功能在远程服务器上共享恶意文件。2022 年 6 月，安全研究人员设计了一个强大的攻击链，该攻击链还利用了 Microsoft Office 漏洞直接从 Word 文档启动搜索。 Trustwave SpiderLabs 的研究人员在报告中说，这种技术已被威胁分子广泛使用，他们使用 HTML 附件在攻击者的服务器上启动 Windows 搜索。 滥用 Windows Search Trustwave 报告中描述的近期攻击始于一封恶意电子 ………………………………