Como o malware pode ser escondido em ficheiros LNK e como as organizações se podem proteger.
Os cibercriminosos estão sempre à procura de técnicas inovadoras para atacar as defesas de segurança. Quanto mais discreto for o malware, mais difícil será a sua deteção e remoção. Os agentes de ameaças utilizam esta tática para inserir malware difícil de detetar em ficheiros de atalho (ficheiros LNK), manipulando uma aplicação fiável para se tornar uma ameaça perigosa.
Há menos de um mês, uma nova campanha de spear-phishing começou a visar profissionais no LinkedIn com um sofisticado trojan backdoor chamado "more_eggs" escondido numa oferta de emprego.
Os candidatos do LinkedIn receberam ficheiros ZIP maliciosos com o nome dos cargos das vítimas nos seus perfis do LinkedIn. Quando as vítimas abriam as falsas ofertas de emprego, iniciavam, sem saber, a instalação sub-reptícia da backdoor sem ficheiro "more_eggs". Uma vez instalada num dispositivo, a sofisticada backdoor pode ir buscar mais plugins maliciosos e dar aos hackers acesso aos computadores das vítimas.
Uma vez que o trojan está no sistema informático, os agentes da ameaça podem penetrar no sistema e infectá-lo com outros tipos de malware, como ransomware, roubar dados ou exfiltrar dados. Golden Eggs, o grupo de ameaça por detrás deste malware, vendeu-o como MaaS (Malware-as-a-Service) para os seus clientes explorarem.
O que são ficheiros LNK?
LNK é uma extensão de nome de ficheiro para atalhos para ficheiros locais no Windows. Os atalhos de ficheiros LNK fornecem acesso rápido a ficheiros executáveis (.exe) sem que os utilizadores tenham de navegar pelo caminho completo do programa.
Os ficheiros com o formato de ficheiro binário Shell Link (.LNK) contêm metadados sobre o ficheiro executável, incluindo o caminho original para a aplicação de destino.
O Windows utiliza estes dados para suportar o lançamento de aplicações, a ligação de cenários e o armazenamento de referências de aplicações a um ficheiro de destino.
Todos nós utilizamos ficheiros LNK como atalhos no nosso Ambiente de Trabalho, Painel de Controlo, Menu de Tarefas e Explorador do Windows.
O malware pode estar escondido no seu LNK mais fraco
Como os ficheiros LNK oferecem uma alternativa conveniente à abertura de um ficheiro, os agentes de ameaças podem utilizá-los para criar ameaças baseadas em scripts. Um destes métodos é através da utilização do PowerShell.
O PowerShell é uma linguagem robusta de linha de comandos e de scripting shell desenvolvida pela Microsoft. Como o PowerShell é executado discretamente em segundo plano, oferece uma oportunidade perfeita para os hackers inserirem código malicioso.Muitos cibercriminosos tiraram partido disso executando scripts PowerShell em ficheiros LNK.
Este tipo de cenário de ataque não é novo. As explorações de ficheiros LNK eram predominantes em 2013 e ainda hoje continuam a ser uma ameaça ativa. Alguns cenários recentes incluem a utilização deste método para inserir malware em documentos relacionados com a COVID-19 ou anexar um ficheiro ZIP com um vírus PowerShell disfarçado numa mensagem de correio eletrónico de phishing.
Como é que os cibercriminosos utilizam ficheiros LNK para fins maliciosos
Os agentes de ameaças podem inserir um script malicioso no comando PowerShell do caminho de destino do ficheiro LNK.
Em alguns casos, pode ver o código em Propriedades do Windows:
Mas, por vezes, é difícil detetar o problema:
O URL do caminho parece inofensivo. No entanto, existe uma cadeia de espaços em branco após o Prompt de Comando (cmd.exe). Como o campo "Target" tem um limite de 260 caracteres, só é possível ver o comando completo na ferramenta de análise LNK. Um código malicioso foi inserido furtivamente após os espaços em branco:
Assim que o utilizador abre o ficheiro LNK, o malware infecta o seu computador, na maioria dos casos sem que o utilizador se aperceba de que algo está errado.
Como Deep CDR pode prevenir ataques a ficheiros LNK
Deep CDR (Content Disarm and Reconstruction) protege as suas organizações de potenciais ameaças escondidas nos ficheiros. A nossa tecnologia de prevenção de ameaças assume que todos os ficheiros que entram na sua rede são maliciosos; depois desconstrói, higieniza e reconstrói todos os ficheiros com todo o conteúdo suspeito removido.
Deep CDR remove todos os comandos prejudiciais cmd.exe e powershell.exe presentes nos ficheiros LNK. No exemplo acima de um trojan numa oferta de emprego do LinkedIn, o ficheiro LNK infetado estava escondido num ficheiro ZIP. O Deep CDR processa vários níveis de ficheiros de arquivo aninhados, detecta componentes infectados e remove conteúdo nocivo. Como resultado, o malware é inactivado e já não pode ser executado nos ficheiros seguros para consumo.
Além disso, o OPSWAT permite que os utilizadores integrem várias tecnologias proprietárias para fornecer camadas extra de proteção contra malware. Um exemplo é o Multiscanning, que permite aos utilizadores analisar simultaneamente com mais de 30 motores anti-malware (utilizando IA/ML, assinaturas, heurística, etc.) para obter taxas de deteção próximas dos 100%. Compare isto com um único motor AV, que em média só consegue detetar 40%-80% dos vírus.
Saiba mais sobre Deep CDR, Multiscanning, e outras tecnologias; ou fale com um especialista em OPSWAT para descobrir a melhor solução de segurança para proteção contra ataques de dia zero e outras ameaças de malware evasivo avançado.
