Emotet colpisce ancora con i collegamenti rapidi di Windows
Ecco di nuovo i collegamenti rapidi di Windows che infettano il sistema camuffati da file PDF
Sono stati osservati almeno due casi in cui è avvenuta la distribuzione di collegamenti rapidi di Windows dannosi, ovvero progettati per infettare le vittime con malware.
Alla fine della settimana scorsa, i ricercatori di sicurezza di Varonis hanno segnalato due gruppi, il famigerato Emotet e il meno noto Golden Chickens (aka Venom Spider) e la loro attività di distribuzione di archivi .ZIP via e-mail. I file zippati contenevano file .LNK.
L'uso di file dei collegamenti rapidi di Windows per distribuire malware o ransomware negli endpoint bersaglio non è una novità, tuttavia i gruppi hanno adottato qualche nuovo trucco.
- I migliori antivirus del 2022
- Le migliori VPN del 2022
- Preparatevi al Prime Day 2022
Collegamenti rapidi mascherati da file PDF
La maggior parte dei lettori più "vintage", probabilmente, ha l'abitudine di modificare i collegamenti rapidi sul desktop in relazione ai giochi, o magari l'aveva in passato.
In questa campagna specifica, i gruppi hacker sostituiscono l'icona originale del collegamento con quella di un file .PDF, in modo che la vittima ignara, una volta ricevuta l'e-mail con l'allegato, non sia in grado di riconoscere la differenza a prima vista.
In ogni caso, la minaccia è concreta. I file dei collegamenti rapidi di Windows possono permettere l'arrivo di ogni tipo di malware sull'endpoint colpito e, in questa specifica situazione, viene scaricato il payload di Emotet nella cartella %TEMP% della vittima. Se l'operazione va in porto, tale payload viene caricato in memoria tramite il file "regsvr32.exe", mentre il dropper originario viene eliminato dalla directory %TEMP%.
Il modo migliore di proteggersi da questi attacchi, secondo i ricercatori, è analizzare con attenzione gli allegati e-mail e mettere in quarantena e bloccare i contenuti sospetti (inclusi i file ZIP con collegamenti rapidi di Windows).
Sei un professionista? Iscriviti alla nostra Newsletter
Iscriviti alla newsletter di Techradar Pro per ricevere tutte le ultime notizie, opinioni, editoriali e guide per il successo della tua impresa!
Inoltre, gli amministratori dovrebbero limitare l'esecuzione di file binari e script inattesi dalla cartella %TEMP%, nonché limitare l'accesso degli utenti ai motori di scripting di Windows, come PowerShell e VBScript. Inoltre, sarebbe opportuno imporre la firma degli script tramite Criteri di gruppo.
Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.