最近观察到至少有两个威胁行为者分发恶意Windows快捷方式文件,旨在用恶意软件感染受害者。上周晚些时候,来自Varonis的网络安全研究人员报告说,看到可怕的Emotet威胁演员以及鲜为人知的金鸡集团(AKAVenomSpider)通过电子邮件分发.ZIP档案,并在这些档案中分发.LNK文件。
使用Windows快捷方式文件部署恶意软件或勒索软件(在新标签中打开)在目标端点上(在新标签中打开)并不完全新颖,但这些威胁参与者给这个想法带来了全新的旋转。
分享您对网络安全的看法,并免费获得《2022年黑客手册》。帮助我们了解企业如何为后Covid世界做准备,以及这些活动对其网络安全计划的影响。在本次调查结束时输入您的电子邮件以获取价值10.99美元/10.99英镑的bookazine。
大多数年长的读者可能在过去至少有一次对自定义他们的游戏桌面快捷方式感到内疚。
在这个特定的活动中,威胁参与者将原始快捷方式图标替换为.PDF文件的图标,这样毫无戒心的受害者一旦收到电子邮件附件,就无法通过基本的视觉检查发现差异。
但危险是真实存在的。Windows快捷方式文件可用于将几乎所有恶意软件投放到目标端点,在这种情况下,Emotet有效负载被下载到受害者的%TEMP%目录中。如果成功,Emotet有效负载将使用“regsvr32.exe”加载到内存中,而原始dropper将从%TEMP%目录中删除。
研究人员表示,防范这些攻击的最佳方法是彻底检查每一个传入的电子邮件附件,并隔离和阻止任何可疑内容(包括带有Windows快捷方式的ZIP压缩文件)。
管理员还应限制%TEMP%目录中意外二进制文件和脚本的执行,并限制用户对PowerShell和VBScript等Windows脚本引擎的访问。他们还应该强制要求通过组策略对脚本进行签名。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!