Ostatnio zaobserwowano co najmniej dwóch ugrupowań zagrażających rozpowszechniających złośliwe pliki skrótów systemu Windows zaprojektowane w celu infekowania ofiar złośliwym oprogramowaniem.
Pod koniec ubiegłego tygodnia badacze cyberbezpieczeństwa z Varonis zgłosili, że widzieli budzącego strach ugrupowania zagrażającego Emotet, a także mniej znaną grupę Golden Chickens (znaną również jako Venom Spider) rozpowszechniających pliki .ZIP za pośrednictwem poczty elektronicznej, a w tych plikach także pliki .LNK.
Używanie plików skrótów systemu Windows do wdrażania złośliwego oprogramowania lub oprogramowania ransomware (otwiera się w nowej karcie) na urządzeniu docelowym (otwiera się w nowej karcie) nie jest niczym nowym, ale ci cyberprzestępcy całkowicie zmienili ten pomysł.
Skróty ukryte w plikach PDF
Większość starszych czytelników jest prawdopodobnie winna dostosowywania skrótów do gier na pulpicie w przeszłości, przynajmniej przy jednej okazji.
W tej konkretnej kampanii cyberprzestępcy zastąpili oryginalną ikonę skrótu ikoną pliku .PDF, tak aby niczego niepodejrzewająca ofiara po otrzymaniu załącznika nie była w stanie dostrzec różnicy na podstawie podstawowej kontroli wizualnej.
Ale niebezpieczeństwo jest realne. Pliki skrótów systemu Windows można wykorzystać do umieszczenia na urządzeniu docelowym niemal dowolnego złośliwego oprogramowania. W tym scenariuszu ładunek Emotet jest pobierany do katalogu %TEMP% ofiary. Jeśli się powiedzie, ładunek Emotet zostanie załadowany do pamięci przy użyciu pliku „regsvr32.exe”, a oryginalny dropper zostanie usunięty z katalogu %TEMP%.
Według badaczy najlepszą metodą ochrony przed tymi atakami jest dokładne sprawdzanie każdego przychodzącego załącznika, poddawanie go kwarantannie i blokowanie podejrzanych treści (w tym plików skompresowanych w formacie ZIP ze skrótami systemu Windows).
Administratorzy powinni również ograniczyć wykonywanie nieoczekiwanych plików binarnych i skryptów z katalogu %TEMP% oraz ograniczyć dostęp użytkowników do silników skryptowych systemu Windows, takich jak PowerShell i VBScript. Powinni także egzekwować konieczność podpisywania skryptów poprzez Zasady Grupy.