Sono stati osservati almeno due casi in cui è avvenuta la distribuzione di collegamenti rapidi di Windows dannosi, ovvero progettati per infettare le vittime con malware.
Alla fine della settimana scorsa, i ricercatori di sicurezza di Varonis hanno segnalato due gruppi, il famigerato Emotet e il meno noto Golden Chickens (aka Venom Spider) e la loro attività di distribuzione di archivi .ZIP via e-mail. I file zippati contenevano file .LNK.
L'uso di file dei collegamenti rapidi di Windows per distribuire malware o ransomware (Si apre in una nuova scheda) negli endpoint (Si apre in una nuova scheda) bersaglio non è una novità, tuttavia i gruppi hanno adottato qualche nuovo trucco.
- I migliori antivirus del 2022
- Le migliori VPN del 2022
- Preparatevi al Prime Day 2022
Collegamenti rapidi mascherati da file PDF
La maggior parte dei lettori più "vintage", probabilmente, ha l'abitudine di modificare i collegamenti rapidi sul desktop in relazione ai giochi, o magari l'aveva in passato.
In questa campagna specifica, i gruppi hacker sostituiscono l'icona originale del collegamento con quella di un file .PDF, in modo che la vittima ignara, una volta ricevuta l'e-mail con l'allegato, non sia in grado di riconoscere la differenza a prima vista.
In ogni caso, la minaccia è concreta. I file dei collegamenti rapidi di Windows possono permettere l'arrivo di ogni tipo di malware sull'endpoint colpito e, in questa specifica situazione, viene scaricato il payload di Emotet nella cartella %TEMP% della vittima. Se l'operazione va in porto, tale payload viene caricato in memoria tramite il file "regsvr32.exe", mentre il dropper originario viene eliminato dalla directory %TEMP%.
Il modo migliore di proteggersi da questi attacchi, secondo i ricercatori, è analizzare con attenzione gli allegati e-mail e mettere in quarantena e bloccare i contenuti sospetti (inclusi i file ZIP con collegamenti rapidi di Windows).
Inoltre, gli amministratori dovrebbero limitare l'esecuzione di file binari e script inattesi dalla cartella %TEMP%, nonché limitare l'accesso degli utenti ai motori di scripting di Windows, come PowerShell e VBScript. Inoltre, sarebbe opportuno imporre la firma degli script tramite Criteri di gruppo.
