Recientemente se han observado al menos dos actores de amenazas que distribuyen archivos maliciosos de acceso directo de Windows diseñados para infectar a las víctimas con malware.
A fines de la semana pasada, los investigadores de ciberseguridad de Varonis informaron haber visto al temido actor de amenazas Emotet, así como al grupo menos conocido Golden Chickens (también conocido como Venom Spider), distribuyendo archivos .ZIP por correo electrónico y, en estos archivos, archivos .LNK.
El uso de archivos de acceso directo de Windows para implementar malware o ransomware (se abre en una pestaña nueva) en el dispositivo de destino (se abre en una pestaña nueva) no es realmente nuevo, pero estos actores de amenazas le han dado un giro completamente nuevo a la idea.
Accesos directos disfrazados de archivos PDF
La mayoría de los lectores mayores probablemente sean culpables de personalizar sus accesos directos de escritorio de juegos en el pasado, al menos en una ocasión.
En esta campaña en particular, los actores de amenazas reemplazaron el icono de acceso directo original con el de un archivo .PDF, de modo que la víctima desprevenida, una vez que recibe el archivo adjunto, no puede notar la diferencia con una inspección visual básica.
Pero el peligro es real. Los archivos de acceso directo de Windows se pueden usar para colocar casi cualquier malware en el dispositivo de destino y, en este escenario, la carga útil de Emotet se descarga en el directorio %TEMP% de la víctima. Si tiene éxito, la carga útil de Emotet se cargará en la memoria mediante "regsvr32.exe", mientras que el cuentagotas original se eliminará del directorio %TEMP%.
Según los investigadores, la mejor manera de protegerse contra estos ataques es inspeccionar minuciosamente cada archivo adjunto entrante, poner en cuarentena y bloquear el contenido sospechoso (incluidos los archivos comprimidos en ZIP con accesos directos de Windows).
Los administradores también deben limitar la ejecución de archivos binarios y secuencias de comandos inesperados desde el directorio %TEMP% y limitar el acceso de los usuarios a los motores de secuencias de comandos de Windows, como PowerShell y VBScript. También deben hacer cumplir la necesidad de firmar scripts a través de la directiva de grupo.