黑客利用 INTERNET 快捷方式文件中的零日漏洞诱骗受害者 (CVE-2024-38112)

文章预览

引言和背景 Check Point Research 最近发现，攻击者一直在使用新颖（或之前未知）的技巧来诱使 Windows 用户进行远程代码执行。具体来说，攻击者使用了特殊的 Windows 快捷方式文件（.url 扩展名），当点击时，会调用已退役的 Internet Explorer (IE) 访问攻击者控制的 URL。在 IE 中使用了额外的技巧来隐藏恶意的 .hta 扩展名。通过使用 IE 而不是 Windows 上现代且安全得多的 Chrome/Edge 浏览器打开 URL，攻击者在利用受害者的计算机方面获得了显著优势，尽管计算机运行的是现代的 Windows 10/11 操作系统。 就一些技术背景而言，攻击者使用 .url 文件作为他们活动中的初始攻击向量并不罕见。即使使用新颖或零日 url 文件相关的漏洞也发生过——CVE-2023-36025，这是去年 11 月刚刚修补的一个好例子。 我们发现的恶意 .url 样本可以追溯到最早的2023 年 1 月（一年多以前）到 ………………………………