Cum se poate ascunde malware-ul în fișierele LNK și cum se pot proteja organizațiile.
Infractorii cibernetici sunt mereu în căutarea unor tehnici inovatoare pentru a ataca apărarea de securitate. Cu cât malware-ul este mai discret, cu atât este mai greu de detectat și de eliminat. Actorii amenințători profită de această tactică pentru a insera programe malware greu de detectat în fișierele de scurtătură (fișiere LNK), manipulând o aplicație fiabilă pentru a o transforma într-o amenințare periculoasă.
În urmă cu mai puțin de o lună, o nouă campanie de spear-phishing a început să vizeze profesioniștii de pe LinkedIn cu un troian backdoor sofisticat numit "more_eggs" ascuns într-o ofertă de muncă.
Candidații de pe LinkedIn au primit fișiere de arhivă ZIP malițioase cu numele posturilor ocupate de victime pe profilurile lor de LinkedIn. Atunci când victimele au deschis ofertele false de locuri de muncă, au inițiat, fără să știe, instalarea pe ascuns a backdoor-ului fără fișiere "more_eggs". Odată instalat pe un dispozitiv, backdoor-ul sofisticat poate prelua mai multe plugin-uri malițioase și le poate oferi hackerilor acces la computerele victimelor.
Odată ce troianul se află pe sistemul informatic, actorii amenințători pot pătrunde în sistem și îl pot infecta cu alte tipuri de malware, cum ar fi ransomware, pot fura date sau pot exfiltra date. Golden Eggs, grupul de amenințări din spatele acestui malware, l-a vândut ca MaaS (Malware-as-a-Service) pentru a fi exploatat de clienții lor.
Ce sunt fișierele LNK?
LNK este o extensie de nume de fișier pentru scurtături către fișiere locale în Windows. Scurtăturile de fișiere LNK oferă acces rapid la fișiere executabile (.exe) fără ca utilizatorii să navigheze pe calea completă a programului.
Fișierele cu formatul Shell Link Binary File Format (.LNK) conțin metadate despre fișierul executabil, inclusiv calea originală către aplicația țintă.
Windows utilizează aceste date pentru a sprijini lansarea aplicațiilor, crearea de legături între scenarii și stocarea referințelor aplicațiilor la un fișier țintă.
Cu toții folosim fișiere LNK ca scurtături pe desktop, în panoul de control, în meniul de activități și în Windows Explorer.
Malware se poate ascunde în cel mai slab LNK al dumneavoastră
Deoarece fișierele LNK oferă o alternativă convenabilă la deschiderea unui fișier, actorii de amenințări le pot utiliza pentru a crea amenințări bazate pe scripturi. Una dintre aceste metode este prin utilizarea PowerShell.
PowerShell este un limbaj robust de scripting în linie de comandă și shell dezvoltat de Microsoft. Deoarece PowerShell rulează discret în fundal, acesta oferă hackerilor ocazia perfectă de a introduce coduri malițioase.Mulți infractori cibernetici au profitat de acest lucru executând scripturi PowerShell în fișiere LNK.
Acest tip de scenariu de atac nu este nou. Exploatarea fișierelor LNK a fost răspândită în 2013 și rămâne o amenințare activă și în prezent. Unele scenarii recente includ utilizarea acestei metode pentru a introduce programe malware în documente legate de COVID-19 sau pentru a atașa un fișier ZIP cu un virus PowerShell deghizat într-un e-mail de phishing.
Cum utilizează infractorii cibernetici fișierele LNK în scopuri malițioase
Actorii de amenințări pot strecura un script malițios în comanda PowerShell din calea țintă a fișierului LNK.
În unele cazuri, puteți vedea codul sub Windows Properties:
Dar, uneori, este dificil de identificat problema:
URL-ul de acces pare inofensiv. Cu toate acestea, există un șir de spații albe după Command Prompt (cmd.exe). Deoarece câmpul "Target" are o limită de caractere de 260, puteți vedea doar comanda completă în instrumentul de analiză LNK. Un cod malițios a fost inserat pe furiș după spațiile albe:
De îndată ce utilizatorul deschide fișierul LNK, malware-ul îi infectează calculatorul, în majoritatea cazurilor fără ca utilizatorul să își dea seama că ceva nu este în regulă.
Cum poate Deep CDR să prevină atacurile cu fișiere LNK
Deep CDR (Content Disarm and Reconstruction) vă protejează organizațiile de potențialele amenințări ascunse în fișiere. Tehnologia noastră de prevenire a amenințărilor presupune că toate fișierele care intră în rețeaua dvs. sunt rău intenționate; apoi deconstruiește, dezinfectează și reconstruiește fiecare fișier cu tot conținutul suspect eliminat.
Deep CDR elimină toate comenzile dăunătoare cmd.exe și powershell.exe prezente în fișierele LNK. În exemplul de mai sus al unui troian dintr-o ofertă de muncă LinkedIn, fișierul LNK infectat a fost ascuns într-un fișier ZIP. Deep CDR procesează mai multe niveluri de fișiere arhivă imbricate, detectează componentele infectate și elimină conținutul dăunător. Ca urmare, malware-ul este inactivat și nu mai poate fi executat în fișierele sigure pentru consum.
În plus, OPSWAT permite utilizatorilor să integreze mai multe tehnologii brevetate pentru a oferi straturi suplimentare de protecție împotriva programelor malware. Un astfel de exemplu este Multiscanning, care permite utilizatorilor să scaneze simultan cu peste 30 de motoare anti-malware (utilizând AI/ML, semnături, euristică etc.) pentru a obține rate de detecție apropiate de 100%. Comparați acest lucru cu un singur motor AV, care, în medie, poate detecta doar 40-80% din viruși.
Aflați mai multe despre Deep CDR, Multiscanning, și alte tehnologii; sau discutați cu un expert OPSWAT pentru a descoperi cea mai bună soluție de securitate pentru a vă proteja împotriva atacurilor Zero-day și a altor amenințări din partea programelor malware evazive avansate.
