文章预览
引言和背景 Check Point Research 最近发现,攻击者一直在使用新颖(或之前未知)的技巧来诱使 Windows 用户进行远程代码执行。具体来说,攻击者使用了特殊的 Windows 快捷方式文件(.url 扩展名),当点击时,会调用已退役的 Internet Explorer (IE) 访问攻击者控制的 URL。在 IE 中使用了额外的技巧来隐藏恶意的 .hta 扩展名。通过使用 IE 而不是 Windows 上现代且安全得多的 Chrome/Edge 浏览器打开 URL,攻击者在利用受害者的计算机方面获得了显著优势,尽管计算机运行的是现代的 Windows 10/11 操作系统。 就一些技术背景而言,攻击者使用 .url 文件作为他们活动中的初始攻击向量并不罕见。即使使用新颖或零日 url 文件相关的漏洞也发生过——CVE-2023-36025,这是去年 11 月刚刚修补的一个好例子。 我们发现的恶意 .url 样本可以追溯到最早的2023 年 1 月(一年多以前)到
………………………………
