Come il malware può essere nascosto nei file LNK e come le organizzazioni possono proteggersi.
I criminali informatici sono sempre alla ricerca di tecniche innovative per attaccare le difese di sicurezza. Più il malware è discreto, più è difficile da rilevare e rimuovere. Gli attori delle minacce sfruttano questa tattica per inserire malware difficili da rilevare nei file di collegamento (file LNK), manipolando un'applicazione affidabile e trasformandola in una pericolosa minaccia.
Meno di un mese fa, una nuova campagna di spear-phishing ha iniziato a colpire i professionisti su LinkedIn con un sofisticato trojan backdoor chiamato "more_eggs" nascosto in un'offerta di lavoro.
I candidati di LinkedIn hanno ricevuto file di archivio ZIP dannosi con il nome dei titoli di lavoro delle vittime sui loro profili LinkedIn. Quando le vittime hanno aperto le false offerte di lavoro, hanno inconsapevolmente avviato l'installazione surrettizia della backdoor senza file "more_eggs". Una volta installata su un dispositivo, la sofisticata backdoor può recuperare altri plugin dannosi e consentire agli hacker di accedere ai computer delle vittime.
Una volta che il trojan si trova sul sistema informatico, gli attori delle minacce possono penetrare nel sistema e infettarlo con altri tipi di malware come il ransomware, rubare dati o esfiltrare dati. Golden Eggs, il gruppo di minacce che sta dietro a questo malware, lo ha venduto come MaaS (Malware-as-a-Service) per essere sfruttato dai propri clienti.
Cosa sono i file LNK?
LNK è un'estensione del nome del file per i collegamenti ai file locali in Windows. I collegamenti ai file LNK consentono di accedere rapidamente ai file eseguibili (.exe) senza che l'utente debba navigare nel percorso completo del programma.
I file con il formato Shell Link Binary File Format (.LNK) contengono metadati sul file eseguibile, compreso il percorso originale dell'applicazione di destinazione.
Windows utilizza questi dati per supportare l'avvio delle applicazioni, il collegamento degli scenari e la memorizzazione dei riferimenti delle applicazioni a un file di destinazione.
Tutti noi utilizziamo i file LNK come collegamenti sul Desktop, nel Pannello di controllo, nel Menu attività e in Esplora risorse.
Il malware può annidarsi nel vostro LNK più debole
Poiché i file LNK offrono una comoda alternativa all'apertura di un file, gli attori delle minacce possono utilizzarli per creare minacce basate su script. Uno di questi metodi è l'uso di PowerShell.
PowerShell è un robusto linguaggio di scripting a riga di comando e shell sviluppato da Microsoft. Poiché PowerShell viene eseguito in modo discreto in background, offre agli hacker un'opportunità perfetta per inserire codice dannoso.Molti criminali informatici ne hanno approfittato eseguendo script PowerShell nei file LNK.
Questo tipo di scenario di attacco non è nuovo. Gli exploit dei file LNK erano diffusi già nel 2013 e rimangono una minaccia attiva ancora oggi. Alcuni scenari recenti includono l'utilizzo di questo metodo per inserire malware in documenti relativi a COVID-19 o allegare un file ZIP con un virus PowerShell mascherato in un'e-mail di phishing.
Come i criminali informatici utilizzano i file LNK per scopi dannosi
Gli attori delle minacce possono inserire uno script dannoso nel comando PowerShell del percorso di destinazione del file LNK.
In alcuni casi, è possibile vedere il codice in Proprietà di Windows:
Ma a volte è difficile individuare il problema:
L'URL del percorso sembra innocuo. Tuttavia, dopo il prompt dei comandi (cmd.exe) è presente una stringa di spazi bianchi. Poiché il campo "Target" ha un limite di 260 caratteri, nello strumento di analisi LNK è possibile vedere solo il comando completo. Dopo gli spazi bianchi è stato inserito furtivamente un codice dannoso:
Non appena l'utente apre il file LNK, il malware infetta il computer, nella maggior parte dei casi senza che l'utente si accorga di nulla.
In che modo la tecnologia Deep CDR™ può prevenire gli attacchi ai file LNK
La tecnologia Deep CDR™ (Content Disarm and Reconstruction) protegge le organizzazioni da potenziali minacce nascoste all'interno dei file. La nostra tecnologia di prevenzione delle minacce presume che tutti i file che entrano nella rete siano dannosi, quindi decostruisce, ripulisce e ricostruisce ogni file rimuovendo tutti i contenuti sospetti.
La tecnologia Deep CDR™ rimuove tutti i comandi cmd.exe e powershell.exe dannosi presenti nei file LNK. Nell'esempio sopra riportato di un trojan in un'offerta di lavoro su LinkedIn, il file LNK infetto era nascosto in un file ZIP. La tecnologia Deep CDR™ elabora più livelli di file di archivio nidificati, rileva i componenti infetti e rimuove i contenuti dannosi. Di conseguenza, il malware viene disattivato e non può più essere eseguito nei file sicuri.
Inoltre, OPSWAT consente agli utenti di integrare più tecnologie proprietarie per fornire ulteriori livelli di protezione dalle minacce informatiche. Un esempio è Multiscanning, che consente agli utenti di eseguire scansioni simultanee con più di 30 motori anti-malware (utilizzando AI/ML, firme, euristica, ecc.) per ottenere tassi di rilevamento che si avvicinano al 100%. Rispetto a un singolo motore AV, che in media è in grado di rilevare solo il 40%-80% dei virus.
Scopri di più sulla tecnologia Deep CDR™, Multiscanninge altre tecnologie; oppure parla con un OPSWAT per scoprire la migliore soluzione di sicurezza per proteggerti dagli attacchi zero-day e da altre minacce provenienti da malware evasivo avanzato.
