Nueva campaña de phishing se aprovecha del protocolo de búsqueda de Windows
Una reciente campaña de phishing utiliza archivos adjuntos HTML que explotan el protocolo de búsqueda de Windows (URI search-ms) para distribuir archivos por lotes alojados en servidores remotos, entregando así malware.
El protocolo de búsqueda de Windows es un Identificador de Recursos Uniforme (URI) que permite a las aplicaciones abrir el Explorador de Windows para realizar búsquedas con parámetros específicos. Aunque la mayoría de las búsquedas de Windows se enfocan en el índice del dispositivo local, también es posible forzar que la búsqueda consulte comparticiones de archivos en hosts remotos y use un título personalizado para la ventana de búsqueda.
Los atacantes pueden aprovechar esta funcionalidad para compartir archivos maliciosos en servidores remotos. Esta técnica fue destacada por primera vez en una tesis de 2020 del profesor Dr. Martin Johns. En junio de 2022, investigadores de seguridad desarrollaron una cadena de ataque que explotaba una vulnerabilidad en Microsoft Office para lanzar búsquedas directamente desde documentos de Word.
Ahora, investigadores de Trustwave SpiderLabs informan que actores maliciosos están utilizando archivos adjuntos HTML para iniciar búsquedas de Windows en los servidores de los atacantes.
