Passer au contenu

Cet outil de Windows est à nouveau détourné par les cybercriminels

Des cybercriminels exploitent le protocole de recherche Windows pour déployer des logiciels malveillants. Cette tactique sophistiquée permet aux hackers de piéger les utilisateurs avec des pièces jointes déguisées.

Les chercheurs en sécurité de Trustwave SpiderLabs ont découvert que de nouveaux cybercriminels exploitent le protocole de recherche Windows, ou Search-ms URI. Ce protocole Microsoft permet de lancer des recherches personnalisées sur l’ordinateur, pour retrouver facilement des fichiers ou des informations. D’après le rapport de Trustwave SpiderLabs, des hackers ont trouvé le moyen d’abuser de cette fonctionnalité pour « déployer des logiciels malveillants ».

À lire aussi : Des versions pirates de Microsoft Office propagent une horde de malwares

Une pièce jointe piégée

Dans un premier temps, les cybercriminels vont d’abord transmettre « un e-mail suspect contenant une pièce jointe HTML » à leur cible. Pour endormir la méfiance des victimes, les pirates déguisent la pièce jointe en document anodin, comme une facture. De plus, le fichier HTML est caché dans « une archive ZIP », ce qui permet à l’attaque phishing de passer sous le radar.

Si l’utilisateur ouvre le fichier HTML, l’ordinateur va automatiquement lancer des recherches sur les serveurs détenus par les cybercriminels par le biais du protocole Search-ms URI. De son côté, l’utilisateur n’aura pas conscience qu’il se trouve désormais sur un serveur à distance. Il sera persuadé qu’il réalise des recherches directement sur son ordinateur.

C’est là que les cybercriminels arrivent à leurs fins. Comme l’explique Trustwave SpiderLabs, une URL de redirection dans le fichier HTML va utiliser le protocole de recherche de Windows pour récupérer des documents malveillants sur les serveurs à distance. Ces documents, que les cybercriminels ont baptisé « facture », vont pouvoir installer des virus sur l’ordinateur. À partir de là, on peut imaginer que les hackers pourront piocher dans les données sensibles de la machine.

« Cette technique obscurcit intelligemment la véritable intention de l’attaquant, en exploitant la confiance que les utilisateurs placent dans des interfaces familières et des actions courantes comme l’ouverture des pièces jointes aux e-mails », explique Trustwave SpiderLabs.

Des outils Microsoft régulièrement détournés

Ce n’est pas la première fois que des pirates exploitent le protocole de recherche de Windows pour orchestrer des cyberattaques. Comme on vous l’expliquait en mars dernier, le protocole a déjà été détourné par les hackers russes de Forest Blizzard ou Fancy Bear. Ceux-ci se sont servis de l’outil pour berner l’utilisateur avec des PDF piégés.

Par ailleurs, certains hackers s’appuient sur la fonctionnalité Quick Assist pour déployer des ransomwares sur les ordinateurs Windows. Enfin, on notera que des spécialistes de l’extorsion abusent parfois de la fonctionnalité BitLocker, pourtant destinée à protéger vos données, pour arriver à leurs fins.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Trustwave SpiderLabs


Florian Bayard