Skip to main content

Emotet colpisce ancora con i collegamenti rapidi di Windows

Lente di ingrandimento sulla parola Malware in codice macchina
(Image credit: Shutterstock)

Sono stati osservati almeno due casi in cui è avvenuta la distribuzione di collegamenti rapidi di Windows dannosi, ovvero progettati per infettare le vittime con malware.

Alla fine della settimana scorsa, i ricercatori di sicurezza di Varonis hanno segnalato due gruppi, il famigerato Emotet e il meno noto Golden Chickens (aka Venom Spider) e la loro attività di distribuzione di archivi .ZIP via e-mail. I file zippati contenevano file .LNK.

L'uso di file dei collegamenti rapidi di Windows per distribuire malware o ransomware (opens in new tab) negli endpoint (opens in new tab) bersaglio non è una novità, tuttavia i gruppi hanno adottato qualche nuovo trucco. 

Collegamenti rapidi mascherati da file PDF

La maggior parte dei lettori più "vintage", probabilmente, ha l'abitudine di modificare i collegamenti rapidi sul desktop in relazione ai giochi, o magari l'aveva in passato.

In questa campagna specifica, i gruppi hacker sostituiscono l'icona originale del collegamento con quella di un file .PDF, in modo che la vittima ignara, una volta ricevuta l'e-mail con l'allegato, non sia in grado di riconoscere la differenza a prima vista.

In ogni caso, la minaccia è concreta. I file dei collegamenti rapidi di Windows possono permettere l'arrivo di ogni tipo di malware sull'endpoint colpito e, in questa specifica situazione, viene scaricato il payload di Emotet nella cartella %TEMP% della vittima. Se l'operazione va in porto, tale payload viene caricato in memoria tramite il file "regsvr32.exe", mentre il dropper originario viene eliminato dalla directory %TEMP%.

Il modo migliore di proteggersi da questi attacchi, secondo i ricercatori, è analizzare con attenzione gli allegati e-mail e mettere in quarantena e bloccare i contenuti sospetti (inclusi i file ZIP con collegamenti rapidi di Windows).

Inoltre, gli amministratori dovrebbero limitare l'esecuzione di file binari e script inattesi dalla cartella %TEMP%, nonché limitare l'accesso degli utenti ai motori di scripting di Windows, come PowerShell e VBScript. Inoltre, sarebbe opportuno imporre la firma degli script tramite Criteri di gruppo.

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.