Infractorii cibernetici care răspândesc familii de programe malware – inclusiv QakBot, IceID, Emotet și RedLine Stealer – utilizează fișierele de tip .lnk pentru livrarea de programe malware prin email. Acest tip de fișiere înlocuiesc macro-urile Microsoft Office – care sunt blocate implicit – ca modalitate prin care atacatorii pot să obțină accesul inițial la nivelul unei rețele, păcălind utilizatorii să își infecteze PC-urile cu programe malware.
Un fișier .lnk este o comandă rapidă din Windows care are rol de pointer pentru a deschide un fișier, un folder sau o aplicație. Acestea se bazează pe formatul de fișier binar Shell Link care conține informații utilizate pentru accesarea unui alt obiect.
Raportul HP Wolf Security’s Q2 2022 Threat Insights Report arată o creștere de 11% a fișierelor de tip arhivă care conțin malware, inclusiv fișiere .lnk. Atacatorii transmit adesea fișiere malițioase arhivate (.zip, .rar) în atașamentele e-mailurilor, fapt ce permite în primă fază evitarea detecției de către programele de tip antivirus.
De asemenea, a fost observat că instrumentele software specializate care facilitează împachetarea de malware ca fișiere .lnk (denumite lnkbombs) pot fi achiziționate de pe forumurile de criminalitate cibernetică, fapt care facilitează trecerea la această tehnică de execuție a codului “fără macro”.
Blocarea imediată a fișierelor cu extensia .lnk
Specialiștii HP Wolf Security recomandă blocarea imediată a fișierelor cu extensia .lnk primite ca atașamente de e-mail sau descărcate de pe web, acolo unde este posibil.
Pe lângă creșterea numărului de fișiere .lnk utilizate, raportul Wolf Security a evidențiat și alte tehnici utilizate pentru livrarea aplicațiilor malițioase, respectiv pentru evitarea detecției acestora.
- HTML smuggling – au fost identificate mai multe campanii de phishing care au folosit e-mailuri care pozează în servicii poștale regionale sau evenimente majore (ex. Doha Expo 2023) care au folosit HTML smuggling pentru livrarea de malware. Folosind această tehnică, tipurile de fișiere periculoase care în mod normal ar fi blocate de gateway-urile serverelor de email pot fi introduse ilegal în organizații și pot duce la infectarea acestora.
- CVE-2022-30190 – atacatorii exploatează vulnerabilitatea de tip zero-day identificată la nivelul Microsoft Support Diagnostic Tool (MSDT) – supranumită “Follina” – pentru a distribui QakBot, Agent Tesla și Remcos RAT (Remote Access Trojan). Vulnerabilitatea permite atacatorilor să ruleze cod arbitrar pentru a executa programe malware și necesită o interacțiune redusă din partea utilizatorului pentru a fi exploatată pe mașinile țintă.
- SVCReady – o campanie de distribuire a unei noi familii malware numită SVCReady, care se remarcă prin modul neobișnuit în care este livrată pe PC-urile țintă – prin cod shell ascuns în proprietățile documentelor Office. Programul malware a fost conceput, în principal, pentru a descărca încărcături malware secundare pe computerele infecttae după ce colectează infoirmații despre sistem și face capturi de ecran. Acesta se află încă într-un stadiu incipient de dezvoltare, fiind actualizat de mai multe ori în ultima prioadă.
Din datele prezentate în cadrul raportului se remarcă:
- 14% din programele malware transmise prin email nu au fost identificate ca malițioase de infrastructura de protecție folosită.
- Au fost identificate 593 de familii de malware utilizate în încercările de infectare a organizațiilor, comparativ cu 545 în trimestrul precedent.
- Fișierele de tip Microsoft Excel sunt cel mai des utilizate de atacatori, dar a fost observată o creștere cu 11% a utilizării de fișiere arhivate;
- 69% dintre încercările de infectare detectate au fost primite prin e-mail, în timp ce descărcările de pe internet au fost responsabile pentru 17% dintre acestea;
- Tranzacțiile comerciale au reprezentat tema principală a email-urilor malițioase primite. Acestea au inclus cuvinte cum ar fi “commandă”, ”plată”, “achiziție”, “cerere” și “factură”.
Atacatorii testează în ritm alert noi formate de fișiere malițioase sau exploit-uri pentru a evita detecția, organizațiile fiind nevoite să se pregătească pentru neprevăzut. Acest lucru presupune adoptarea unei abordări arhitecturale a securității endpoint-urilor, de exemplu, prin limitarea celor mai comuni vectori de atac, cum ar fi emailurile, browser-ele și descărcările, astfel încât amenințările să fie izolate, indiferent dacă pot fi detectate.
“Acest lucru va elimina suprafața de atac pentru clase întregi de amenințări, oferind în același timp organizației timpul necesar pentru a coordona aplicarea patch-urilor în siguranță, fără a întrerupe serviciile”, a precizat dr. Ian PRATT, șef global de Securitate pentru sistemele personale din cadrul HP INC.