漏洞利用:利用Windows搜索协议进行恶意软件分发的新钓鱼攻击
关键要点
针对Windows搜索协议的HTML附件被恶意使用,进行钓鱼攻击。攻击者通过伪造发票的HTML文件绕过安全系统。点击钓鱼邮件中的链接后,会重定向至恶意URL。建议组织通过特定注册表命令来减轻这一威胁。最近,BleepingComputer 报告称,攻击者正在利用恶意HTML附件,针对Windows搜索协议“searchms URI”进行钓鱼攻击,以便分发恶意软件的批处理文件。这一新发布的钓鱼活动也与之前的相关事件如 钓鱼活动 相联系。
根据Trustwave SpiderLabs的报告,这些攻击通常始于一封包含ZIP文件的钓鱼邮件,ZIP文件内含有一份伪造的发票文档,其实是一个HTML文件,旨在绕过杀毒系统。点击该HTML文件时,会在目标浏览器中打开一个恶意链接,允许攻击者搜索所有标记为“发票”的项目,并重命名搜索结果显示,同时利用Cloudflare服务将获取的信息重定向到攻击者控制的服务器,并对该服务器进行混淆。
此外,攻击者还可能使用一个名为LNK的文件,该文件声称是发票,也可执行一个不明功能的批处理脚本。
为降低这一威胁,专家建议组织应执行以下注册表命令,以删除相应的条目:bashreg delete HKEYCLASSESROOTsearch /freg delete HKEYCLASSESROOTsearchms /f
通过采取预防措施,组织能够更有效地抵御这一新兴的威胁。确保所有员工明白钓鱼攻击的迹象,以及如何安全地处理可疑邮件,是至关重要的。
海外npv加速器
