Di recente, sono stati osservati almeno due autori di minacce che distribuiscono file di collegamento di Windows dannosi progettati per infettare le vittime con malware.
Alla fine della scorsa settimana, i ricercatori di sicurezza informatica di Varonis hanno riferito di aver visto il temuto attore di minacce Emotet, così come il gruppo meno noto Golden Chickens (alias Venom Spider), distribuire file .ZIP via e-mail e, in questi file, file .LNK.
L'utilizzo dei file di scelta rapida di Windows per distribuire malware o ransomware(Si apre in una nuova scheda) sul dispositivo di destinazione(Si apre in una nuova scheda) non è una novità, ma questi attori delle minacce hanno dato una svolta completamente nuova all'idea.
Scorciatoie camuffate da PDF
La maggior parte dei lettori più anziani è probabilmente colpevole di aver personalizzato le scorciatoie del desktop di gioco in passato, almeno in un'occasione.
In questa particolare campagna, gli attori della minaccia hanno sostituito l'icona di collegamento originale con quella di un file .PDF, in modo che la vittima ignara, una volta ricevuto l'allegato, non possa distinguere con un'ispezione visiva di base.
Ma il pericolo è reale. I file di collegamento di Windows possono essere utilizzati per rilasciare quasi qualsiasi malware sul dispositivo di destinazione e, in questo scenario, il payload Emotet viene scaricato nella directory %TEMP% della vittima. In caso di successo, il payload Emotet verrà caricato in memoria da "regsvr32.exe", mentre il dropper originale verrà rimosso dalla directory %TEMP%.
Secondo i ricercatori, il modo migliore per proteggersi da questi attacchi è ispezionare a fondo ogni allegato in arrivo, mettere in quarantena e bloccare i contenuti sospetti (compresi i file compressi ZIP con collegamenti di Windows).
Gli amministratori devono inoltre limitare l'esecuzione di script e binari imprevisti dalla directory %TEMP% e limitare l'accesso degli utenti ai motori di scripting di Windows come PowerShell e VBScript. Dovrebbero inoltre imporre la necessità di firmare gli script tramite i criteri di gruppo.