Au moins deux acteurs de la menace ont récemment été observés en train de distribuer des fichiers de raccourcis Windows malveillants conçus pour infecter les victimes avec des logiciels malveillants.
À la fin de la semaine dernière, des chercheurs en cybersécurité de Varonis ont rapporté avoir vu Emotet, l'acteur redouté de la menace, ainsi que le groupe moins connu Golden Chickens (alias Venom Spider), distribuer des fichiers .ZIP par e-mail, et dans ces fichiers, des fichiers .LNK.
L'utilisation de fichiers de raccourci Windows pour déployer des logiciels malveillants ou des rançongiciels (ouvre dans un nouvel onglet) sur l'appareil cible (ouvre dans un nouvel onglet) n'est pas vraiment nouvelle, mais ces acteurs de la menace ont donné une tournure complètement nouvelle à l'idée.
Raccourcis déguisés en fichiers PDF
La plupart des lecteurs plus âgés sont probablement coupables d'avoir personnalisé leurs raccourcis de bureau de jeu dans le passé, au moins une fois.
Dans cette campagne particulière, les acteurs de la menace ont remplacé l'icône de raccourci d'origine par celle d'un fichier .PDF, de sorte que la victime sans méfiance, une fois la pièce jointe reçue, ne puisse pas faire la différence avec une inspection visuelle de base. .
Mais le danger est réel. Les fichiers de raccourci Windows peuvent être utilisés pour déposer presque tous les logiciels malveillants sur l'appareil cible, et dans ce scénario, la charge utile Emotet est téléchargée dans le répertoire %TEMP% de la victime. En cas de succès, la charge utile Emotet sera chargée en mémoire via "regsvr32.exe", tandis que le compte-gouttes d'origine sera supprimé du répertoire %TEMP%.
Selon les chercheurs, la meilleure façon de se protéger contre ces attaques est d'inspecter minutieusement chaque pièce jointe entrante, de mettre en quarantaine et de bloquer le contenu suspect (y compris les fichiers ZIP avec des raccourcis Windows).
Les administrateurs doivent également limiter l'exécution de scripts et de fichiers binaires inattendus à partir du répertoire %TEMP% et limiter l'accès des utilisateurs aux moteurs de script Windows, tels que PowerShell et VBScript. Ils doivent également imposer la nécessité de signer des scripts via la stratégie de groupe.
