Dengan makro Office bukan lagi cara terbaik untuk mengirimkan muatan berbahaya ke titik akhir (terbuka di tab baru) di seluruh dunia, penjahat dunia maya beralih ke strategi baru, termasuk penggunaan file pintasan (.lnk).

Temuan HP Wolf Security berdasarkan data dari jutaan titik akhir menunjukkan ada peningkatan 11% pada file terkompresi yang mengandung malware, termasuk file .lnk, dibandingkan dengan kuartal sebelumnya. Peretas terkadang meletakkan pintasan ini di file .zip sebelum mengirimnya, untuk menghindari deteksi oleh solusi antivirus (terbuka di tab baru) atau tindakan perlindungan email.

Ada dua hal penting tentang file pintasan yang menjadikannya senjata ideal untuk mendistribusikan malware (terbuka di tab baru): mereka dapat dirancang untuk menjalankan hampir semua file, dan mereka dapat memiliki ikon apa pun yang telah diinstal sebelumnya dengan Windows. Yang mengatakan, peretas dapat menetapkannya ikon file .pdf dan menjalankannya file .exe, .log, atau .dll, yang dapat memuat hampir semua virus. Dalam beberapa kasus, peretas bahkan akan menyalahgunakan aplikasi Windows yang sah, seperti kalkulator lama yang bagus, untuk tujuan jahat mereka.

Distribusikan RedLine Thief

Terutama, laporan tersebut menyatakan, pelaku ancaman menggunakan file pintasan untuk menyebarkan QakBot, IceID, Emotet, dan RedLine Stealer. Mereka juga menyalahgunakan kerentanan zero-day Follina (CVE-2022-30190), tambah para peneliti.

“Sementara makro yang diunduh dari web diblokir secara default di Office, kami memantau dengan cermat metode eksekusi alternatif yang diuji oleh penjahat dunia maya. Membuka pintasan atau file HTML mungkin tampak tidak berbahaya bagi karyawan, tetapi dapat menimbulkan risiko signifikan bagi bisnis,” kata Alex. Holland, Analis Malware Senior, Tim Riset Ancaman Keamanan HP Wolf, HP Inc.

“Organisasi harus mengambil tindakan sekarang untuk melindungi dari teknik yang semakin disukai atau diekspos oleh penyerang saat mereka ada di mana-mana. Kami menyarankan Anda segera memblokir file pintasan yang diterima sebagai lampiran email atau diunduh dari web jika memungkinkan. »

Selain file .lnk, Holland juga menyebutkan file HTML. Perusahaan telah mengidentifikasi beberapa kampanye phishing di mana pelaku jahat menyamar sebagai layanan pos regional dan menggunakan file HTML untuk menyebarkan malware. File-file ini menyembunyikan jenis berbahaya dengan baik yang seharusnya dapat dideteksi oleh gateway email dan layanan perlindungan malware.

Bagikan ini