Emotet colpisce ancora con i collegamenti rapidi di Windows

Lente di ingrandimento sulla parola Malware in codice macchina
(Immagine:: Shutterstock)

Sono stati osservati almeno due casi in cui è avvenuta la distribuzione di collegamenti rapidi di Windows dannosi, ovvero progettati per infettare le vittime con malware.

Alla fine della settimana scorsa, i ricercatori di sicurezza di Varonis hanno segnalato due gruppi, il famigerato Emotet e il meno noto Golden Chickens (aka Venom Spider) e la loro attività di distribuzione di archivi .ZIP via e-mail. I file zippati contenevano file .LNK.

L'uso di file dei collegamenti rapidi di Windows per distribuire malware o ransomware negli endpoint bersaglio non è una novità, tuttavia i gruppi hanno adottato qualche nuovo trucco. 

Collegamenti rapidi mascherati da file PDF

La maggior parte dei lettori più "vintage", probabilmente, ha l'abitudine di modificare i collegamenti rapidi sul desktop in relazione ai giochi, o magari l'aveva in passato.

In questa campagna specifica, i gruppi hacker sostituiscono l'icona originale del collegamento con quella di un file .PDF, in modo che la vittima ignara, una volta ricevuta l'e-mail con l'allegato, non sia in grado di riconoscere la differenza a prima vista.

In ogni caso, la minaccia è concreta. I file dei collegamenti rapidi di Windows possono permettere l'arrivo di ogni tipo di malware sull'endpoint colpito e, in questa specifica situazione, viene scaricato il payload di Emotet nella cartella %TEMP% della vittima. Se l'operazione va in porto, tale payload viene caricato in memoria tramite il file "regsvr32.exe", mentre il dropper originario viene eliminato dalla directory %TEMP%.

Il modo migliore di proteggersi da questi attacchi, secondo i ricercatori, è analizzare con attenzione gli allegati e-mail e mettere in quarantena e bloccare i contenuti sospetti (inclusi i file ZIP con collegamenti rapidi di Windows).

Inoltre, gli amministratori dovrebbero limitare l'esecuzione di file binari e script inattesi dalla cartella %TEMP%, nonché limitare l'accesso degli utenti ai motori di scripting di Windows, come PowerShell e VBScript. Inoltre, sarebbe opportuno imporre la firma degli script tramite Criteri di gruppo.

Marco Doria
Senior editor

Senior Editor and Professional Translator. Boardgaming enthusiast, Tech-lover.