О, вредоносные ярлыки Windows возвращаются
23 июня 2022 г.Недавно было замечено, что как минимум два злоумышленника распространяют вредоносные ярлыки Windows, предназначенные для заражения жертв вредоносным ПО.
В конце прошлой недели исследователи кибербезопасности из Варониса сообщили, что видели зловещего деятеля угрозы Emotet, а также менее известную группу Golden Chickens (AKA Venom Spider), распространяющих архивы .ZIP по электронной почте и в эти архивы, файлы .LNK.
Использование ярлыков Windows для развертывания вредоносных программ или программа-вымогатель на целевой конечная точка не совсем новая, но эти злоумышленники придали этой идее совершенно новый смысл.
Поделитесь своими мыслями о кибербезопасности и получите бесплатную копию Руководства хакера 2022. Помогите нам узнать, как компании готовятся к миру после пандемии COVID-19, и влияние этих действий на их планы кибербезопасности. Введите свой адрес электронной почты в конце этого опроса, чтобы получить книжный журнал стоимостью 10,99 долл. США.
Ярлыки, представляющие собой PDF-файлы
Большинство читателей старшего возраста, вероятно, виновны в том, что в прошлом настраивали ярлыки своих игр на рабочем столе, по крайней мере, один раз.
В этой конкретной кампании злоумышленники заменили исходный значок ярлыка на значок файл .PDF, чтобы ничего не подозревающая жертва, получив вложение электронной почты, не смогла обнаружить разницу при обычном визуальном осмотре.
Но опасность реальна. Файлы ярлыков Windows можно использовать для установки практически любого вредоносного ПО на целевую конечную точку, и в этом сценарии полезная нагрузка Emotet загружается в каталог жертвы %TEMP%. В случае успеха полезная нагрузка Emotet будет загружена в память с помощью «regsvr32.exe», а исходный дроппер будет удален из каталога %TEMP%.
Исследователи говорят, что это лучший способ защититься от этих атак. , заключается в тщательной проверке каждого входящего вложения электронной почты, а также в карантине и блокировании любого подозрительного содержимого (включая сжатые ZIP-файлы с ярлыками Windows).
Администраторы также должны ограничить выполнение неожиданных двоичных файлов и сценариев из каталог %TEMP% и ограничить доступ пользователей к обработчикам сценариев Windows, таким как PowerShell и VBScript. Они также должны обеспечивать необходимость подписи сценариев с помощью групповой политики.
Оригинал