Trustwave SpiderLabs ha rilevato una sofisticata campagna malware basata sullo sfruttamento della funzionalità di ricerca di Windows incorporata nel codice HTML nell'intento di distribuire malware. Gli autori delle minacce, in particolare, utilizzano una comprensione sofisticata delle vulnerabilità del sistema e dei comportamenti degli utenti. Andiamo quindi ad analizzare l'HTML e il codice di ricerca di Windows al fine di riuscire a comprendere meglio il loro ruolo nella catena di attacco.

Tutto ha inizio con una comunicazione di posta elettronica

L'inizio della campagna avviene con un'e-mail contenente un allegato HTML camuffato da documento di routine, ad esempio una fattura. Il file è però racchiuso in un archivio ZIP in modo da potenziare l'inganno ed eludere gli scanner di sicurezza della posta elettronica. In tal modo è possibile ridurre la dimensione del file velocizzandone la trasmissione e aggiungere un ulteriore passaggio in grado di bypassare i primi sbarramenti. Sebbene semplice all'apparenza, l'allegato è invece realizzato per il lancio di un attacco sofisticato. Ove aperto, è infatti in grado di abusare dei protocolli web standard e sfruttare le funzionalità di Windows. Elementi chiave del codice HTML utilizzato, sono:

1. l'attributo, il quale spinge il browser a ricaricare automaticamente la pagina e reindirizzarla a un nuovo URL. A renderlo possibile è l'impostazione a zero del ritardo, tale da reindirizzare immediatamente nella direzione voluta il sistema nella fase di caricamento della pagina, senza concedere all'interessato la possibilità di una reazione o il tempo di rendersi conto di quanto sta accadendo;

2. il tag di ancoraggio, chiamato a fungere da fallback. In caso di mancata esecuzione del meta aggiornamento, magari a causa delle impostazioni del browser che bloccano tali reindirizzamenti, l'utente va in pratica ad avviare manualmente la ricerca, attivando l'attacco.

Lo sfruttamento del protocollo di ricerca

Una volta caricato l'HTML, i browser solitamente chiedono all'utente di attivare l'azione di ricerca. Una misura di sicurezza concepita per impedire a comandi non autorizzati l'esecuzione di operazioni potenzialmente dannose senza consenso dell'utente. In tal caso, l'URL di reindirizzamento utilizza il protocollo search, che permette alle applicazioni l'interazione diretta con la funzione di ricerca di Windows Explorer. In questo attacco, il protocollo è utilizzato per l'apertura immediata di “Esplora risorse”, teso all'esecuzione di una ricerca, in cui i parametri sono naturalmente impostati dall'hacker, in questo modo:

• query, che indirizza la ricerca agli elementi desiderati;

• crumb, che limita l'ambito della ricerca tramite indirizzamento ad una specifica directory, in questo caso un server dannoso incanalato mediante Cloudflare;

• displayname, cui spetta il compito di ingannare l'utente rinominando la visualizzazione della ricerca "Download", in modo da far sembrare legittima l'azione eseguita;

• location, con l'utilizzo del servizio di tunneling di Cloudflare per camuffare da locali le risorse remote, facendole sembrare documenti legittimi.

Ottenuto il consenso dell'utente, il raid va a questo punto a recuperare dei file da un server remoto. Nei risultati di ricerca, sarà visualizzato un solo elemento, un file LNK che, a sua volta, conduce ad uno script batch sullo stesso server remoto. Tale script, al clic dell'utente, è a sua volta delegato ad attivare le operazioni dannose desiderate dall'attaccante.

Come è possibile rimediare

Per poter far fronte efficacemente ad un attacco così concepito e impedirgli di far leva sul gestore dell'URI di ricerca, è possibile disabilitare le voci del registro associate. Per riuscirci, si possono utilizzare i seguenti comandi:

• reg delete HKEY_CLASSES_ROOT\search /f

• reg delete HKEY_CLASSES_ROOT\search-ms /f

Tweet