جهات ضارة غير معروفة تستغل ميزة بحث Windows لتنزيل البرامج الضارة


 

يتم استغلال ميزة بحث Windows المشروعة من قبل جهات ضارة غير معروفة لتنزيل البرامج الضارة من الخوادم البعيدة. تستفيد تقنية الهجوم الجديدة من معالج بروتوكول URI "search-ms" و "بروتوكول تطبيق البحث".

يوفر معالج بروتوكول URI "search-ms" القدرة على التطبيقات وروابط HTML لإطلاق عمليات بحث محلية مخصصة على جهاز. يوفر "بروتوكول تطبيق البحث" آلية للاتصال بتطبيق بحث سطح المكتب على Windows.

يوجه المهاجمون المستخدمين إلى مواقع الويب التي تستغل وظائف "البحث" باستخدام JavaScript المستضافة على الصفحة. تم توسيع هذه التقنية لتشمل مرفقات HTML، مما أدى إلى توسيع سطح الهجوم.

في مثل هذه الهجمات، لوحظ أن الجهات الفاعلة المهددة تنشئ رسائل بريد إلكتروني خادعة تضمنت روابط تشعبية أو مرفقات HTML تحتوي على عنوان URL يعيد توجيه المستخدمين إلى مواقع الويب المخترقة. يؤدي هذا إلى تنفيذ JavaScript الذي يستخدم معالجات بروتوكول URI لإجراء عمليات بحث على خادم يتحكم فيه المهاجم.

تجدر الإشارة إلى أن النقر على الرابط يولد أيضًا تحذيرًا "فتح Windows Explorer؟". بالموافقة على هذا التحذير، يتم عرض نتائج البحث لملفات الاختصار الضارة المستضافة عن بُعد في Windows Explorer متخفية في شكل ملفات PDF أو أيقونات موثوقة أخرى، تمامًا مثل نتائج البحث المحلية.

يمكن استخدام برامج الفدية، وبرامج التجسس، وبرامج التحكم عن بُعد الأخرى كحمولة للهجوم. يمكن أن يؤدي هذا إلى فقدان البيانات، وسرقة المعلومات، والتحكم في الجهاز من قبل المهاجم.

للحماية من هذا الهجوم، يجب تحديث Windows وتثبيت أحدث التصحيحات الأمنية. يجب أيضًا توخي الحذر عند فتح المرفقات المستلمة من جهات غير معروفة. يجب أيضًا تجنب النقر على الروابط في رسائل البريد الإلكتروني غير المألوفة.

إذا كنت تعتقد أن جهازك قد يكون قد تم اختراقه، فيجب عليك إيقاف تشغيله على الفور وإجراء مسح أمني.

المقالة السابقة
لا توجد تعليقات
اضـف تعليق
comment url