Ostatnio zaobserwowano co najmniej dwóch cyberprzestępców rozpowszechniających złośliwe pliki skrótów systemu Windows przeznaczone do infekowania ofiar złośliwym oprogramowaniem.

Pod koniec ubiegłego tygodnia analitycy cyberbezpieczeństwa z Varonis poinformowali, że widzieli budzącego postrach gracza Emoteta, a także mniej znaną grupę Golden Chickens (znaną również jako Venom Spider), rozpowszechniającą pliki .ZIP za pośrednictwem poczty elektronicznej, a w tych plikach pliki .LNK.

Używanie plików skrótów systemu Windows do wdrażania złośliwego oprogramowania lub oprogramowania ransomware (Otwiera się w nowej karcie) na urządzeniu docelowym (Otwiera się w nowej karcie) nie jest tak naprawdę nowe, ale ci aktorzy zajmujący się zagrożeniami wykorzystali to zupełnie inaczej.

Skróty przebrane za pliki PDF

Większość starszych czytelników jest prawdopodobnie winna dostosowywania skrótów na pulpicie gier w przeszłości, przynajmniej raz.

W tej konkretnej kampanii cyberprzestępcy zastąpili oryginalną ikonę skrótu ikoną pliku .PDF, aby niczego niepodejrzewająca ofiara, po otrzymaniu załącznika, nie była w stanie odróżnić jej za pomocą podstawowej inspekcji wizualnej.

Ale niebezpieczeństwo jest realne. Pliki skrótów systemu Windows mogą być używane do umieszczania prawie każdego złośliwego oprogramowania na urządzeniu docelowym, aw tym scenariuszu ładunek Emotet jest pobierany do katalogu ofiary %TEMP%. Jeśli się powiedzie, ładunek Emotet zostanie załadowany do pamięci za pomocą „regsvr32.exe”, podczas gdy oryginalny dropper zostanie usunięty z katalogu %TEMP%.

Według naukowców najlepszym sposobem ochrony przed tymi atakami jest dokładna inspekcja każdego przychodzącego załącznika, poddawanie kwarantannie i blokowanie podejrzanych treści (w tym plików ZIP ze skrótami Windows).

Administratorzy powinni również ograniczyć wykonywanie nieoczekiwanych skryptów i plików binarnych z katalogu %TEMP% oraz ograniczyć dostęp użytkowników do aparatów skryptów systemu Windows, takich jak PowerShell i VBScript. Powinni również wymusić konieczność podpisywania skryptów za pomocą zasad grupy.

Udostępnij to