Come il malware può essere nascosto nei file LNK e come le organizzazioni possono proteggersi.
I criminali informatici sono sempre alla ricerca di tecniche innovative per attaccare le difese di sicurezza. Più il malware è discreto, più è difficile da rilevare e rimuovere. Gli attori delle minacce sfruttano questa tattica per inserire malware difficili da rilevare nei file di collegamento (file LNK), manipolando un'applicazione affidabile e trasformandola in una pericolosa minaccia.
Meno di un mese fa, una nuova campagna di spear-phishing ha iniziato a colpire i professionisti su LinkedIn con un sofisticato trojan backdoor chiamato "more_eggs" nascosto in un'offerta di lavoro.
I candidati di LinkedIn hanno ricevuto file di archivio ZIP dannosi con il nome dei titoli di lavoro delle vittime sui loro profili LinkedIn. Quando le vittime hanno aperto le false offerte di lavoro, hanno inconsapevolmente avviato l'installazione surrettizia della backdoor senza file "more_eggs". Una volta installata su un dispositivo, la sofisticata backdoor può recuperare altri plugin dannosi e consentire agli hacker di accedere ai computer delle vittime.
Una volta che il trojan si trova sul sistema informatico, gli attori delle minacce possono penetrare nel sistema e infettarlo con altri tipi di malware come il ransomware, rubare dati o esfiltrare dati. Golden Eggs, il gruppo di minacce che sta dietro a questo malware, lo ha venduto come MaaS (Malware-as-a-Service) per essere sfruttato dai propri clienti.
Cosa sono i file LNK?
LNK è un'estensione del nome del file per i collegamenti ai file locali in Windows. I collegamenti ai file LNK consentono di accedere rapidamente ai file eseguibili (.exe) senza che l'utente debba navigare nel percorso completo del programma.
I file con il formato Shell Link Binary File Format (.LNK) contengono metadati sul file eseguibile, compreso il percorso originale dell'applicazione di destinazione.
Windows utilizza questi dati per supportare l'avvio delle applicazioni, il collegamento degli scenari e la memorizzazione dei riferimenti delle applicazioni a un file di destinazione.
Tutti noi utilizziamo i file LNK come collegamenti sul Desktop, nel Pannello di controllo, nel Menu attività e in Esplora risorse.
Il malware può annidarsi nel vostro LNK più debole
Poiché i file LNK offrono una comoda alternativa all'apertura di un file, gli attori delle minacce possono utilizzarli per creare minacce basate su script. Uno di questi metodi è l'uso di PowerShell.
PowerShell è un robusto linguaggio di scripting a riga di comando e shell sviluppato da Microsoft. Poiché PowerShell viene eseguito in modo discreto in background, offre agli hacker un'opportunità perfetta per inserire codice dannoso.Molti criminali informatici ne hanno approfittato eseguendo script PowerShell nei file LNK.
Questo tipo di scenario di attacco non è nuovo. Gli exploit dei file LNK erano diffusi già nel 2013 e rimangono una minaccia attiva ancora oggi. Alcuni scenari recenti includono l'utilizzo di questo metodo per inserire malware in documenti relativi a COVID-19 o allegare un file ZIP con un virus PowerShell mascherato in un'e-mail di phishing.
Come i criminali informatici utilizzano i file LNK per scopi dannosi
Gli attori delle minacce possono inserire uno script dannoso nel comando PowerShell del percorso di destinazione del file LNK.
In alcuni casi, è possibile vedere il codice in Proprietà di Windows:
Ma a volte è difficile individuare il problema:
L'URL del percorso sembra innocuo. Tuttavia, dopo il prompt dei comandi (cmd.exe) è presente una stringa di spazi bianchi. Poiché il campo "Target" ha un limite di 260 caratteri, nello strumento di analisi LNK è possibile vedere solo il comando completo. Dopo gli spazi bianchi è stato inserito furtivamente un codice dannoso:
Non appena l'utente apre il file LNK, il malware infetta il computer, nella maggior parte dei casi senza che l'utente si accorga di nulla.
Come Deep CDR può prevenire gli attacchi ai file LNK
Deep CDR (Content Disarm and Reconstruction) protegge le vostre organizzazioni dalle potenziali minacce nascoste nei file. La nostra tecnologia di prevenzione delle minacce presuppone che tutti i file che entrano nella vostra rete siano dannosi; quindi decostruisce, sanifica e ricostruisce ogni file con tutti i contenuti sospetti rimossi.
Deep CDR rimuove tutti i comandi dannosi cmd.exe e powershell.exe presenti nei file LNK. Nell'esempio precedente di un trojan in un'offerta di lavoro su LinkedIn, il file LNK infetto era nascosto in un file ZIP. Deep CDR elabora più livelli di file di archivio annidati, rileva i componenti infetti e rimuove i contenuti dannosi. Di conseguenza, il malware viene inattivato e non può più essere eseguito nei file sicuri da consumare.
Inoltre, OPSWAT consente agli utenti di integrare più tecnologie proprietarie per fornire ulteriori livelli di protezione dalle minacce informatiche. Un esempio è Multiscanning, che consente agli utenti di eseguire scansioni simultanee con più di 30 motori anti-malware (utilizzando AI/ML, firme, euristica, ecc.) per ottenere tassi di rilevamento che si avvicinano al 100%. Rispetto a un singolo motore AV, che in media è in grado di rilevare solo il 40%-80% dei virus.
Per saperne di più Deep CDR, Multiscanning, e altre tecnologie; oppure parlate con un esperto di OPSWAT per scoprire la soluzione di sicurezza migliore per proteggersi dagli attacchi Zero-day e da altre minacce di malware evasivo avanzato.
