Comment les logiciels malveillants peuvent être cachés dans les fichiers LNK et comment les organisations peuvent se protéger.
Les cybercriminels sont toujours à la recherche de techniques innovantes pour attaquer les défenses de sécurité. Plus les logiciels malveillants sont discrets, plus ils sont difficiles à détecter et à supprimer. Les acteurs de la menace tirent parti de cette tactique pour insérer des logiciels malveillants difficiles à détecter dans des fichiers de raccourci (fichiers LNK), manipulant ainsi une application fiable pour en faire une menace dangereuse.
Il y a moins d'un mois, une nouvelle campagne de spear-phishing a commencé à cibler les professionnels sur LinkedIn avec un cheval de Troie sophistiqué appelé "more_eggs" dissimulé dans une offre d'emploi.
Des candidats LinkedIn ont reçu des fichiers d'archive ZIP malveillants portant le nom des postes occupés par les victimes sur leurs profils LinkedIn. Lorsque les victimes ont ouvert les fausses offres d'emploi, elles ont déclenché sans le savoir l'installation subreptice de la porte dérobée sans fichier "more_eggs". Une fois installée sur un appareil, cette porte dérobée sophistiquée peut aller chercher d'autres plugins malveillants et permettre aux pirates d'accéder aux ordinateurs des victimes.
Une fois que le cheval de Troie est sur le système informatique, les acteurs de la menace peuvent pénétrer dans le système et l'infecter avec d'autres types de logiciels malveillants comme les ransomwares, voler des données ou exfiltrer des données. Golden Eggs, le groupe de menace à l'origine de ce logiciel malveillant, l'a vendu en tant que MaaS (Malware-as-a-Service) pour que ses clients puissent l'exploiter.
Qu'est-ce qu'un fichier LNK ?
LNK est une extension de nom de fichier pour les raccourcis vers les fichiers locaux dans Windows. Les raccourcis LNK permettent d'accéder rapidement aux fichiers exécutables (.exe) sans que l'utilisateur ait à parcourir le chemin complet du programme.
Les fichiers au format Shell Link Binary File Format (.LNK) contiennent des métadonnées sur le fichier exécutable, y compris le chemin d'accès original à l'application cible.
Windows utilise ces données pour prendre en charge le lancement des applications, l'enchaînement des scénarios et le stockage des références d'application à un fichier cible.
Nous utilisons tous des fichiers LNK comme raccourcis sur notre bureau, dans le panneau de configuration, dans le menu des tâches et dans l'explorateur Windows.
Les logiciels malveillants peuvent se cacher dans votre LNK le plus faible
Les fichiers LNK offrant une alternative pratique à l'ouverture d'un fichier, les auteurs de menaces peuvent les utiliser pour créer des menaces basées sur des scripts. L'une de ces méthodes consiste à utiliser PowerShell.
PowerShell est un langage de ligne de commande et de script robuste développé par Microsoft. Comme PowerShell s'exécute discrètement en arrière-plan, il offre aux pirates une occasion parfaite d'insérer des codes malveillants.De nombreux cybercriminels en ont profité pour exécuter des scripts PowerShell dans des fichiers LNK.
Ce type de scénario d'attaque n'est pas nouveau. Les exploits de fichiers LNK étaient déjà répandus en 2013 et restent une menace active aujourd'hui. Parmi les scénarios récents, on peut citer l'utilisation de cette méthode pour insérer des logiciels malveillants dans des documents liés à COVID-19 ou pour joindre un fichier ZIP contenant un virus PowerShell déguisé dans un courriel de phishing.
Comment les cybercriminels utilisent les fichiers LNK à des fins malveillantes
Les acteurs de la menace peuvent insérer un script malveillant dans la commande PowerShell du chemin cible du fichier LNK.
Dans certains cas, vous pouvez voir le code dans les propriétés de Windows :
Mais il est parfois difficile de repérer le problème :
Le chemin d'accès URL semble inoffensif. Cependant, il y a une chaîne d'espaces blancs après l'invite de commande (cmd.exe). Le champ "Cible" étant limité à 260 caractères, l'outil d'analyse LNK ne peut afficher que la commande complète. Un code malveillant a été inséré furtivement après les espaces blancs :
Dès que l'utilisateur ouvre le fichier LNK, le logiciel malveillant infecte son ordinateur, dans la plupart des cas sans que l'utilisateur ne se rende compte de quoi que ce soit.
Comment Deep CDR peut prévenir les attaques de fichiers LNK
Deep CDR (Content Disarm and Reconstruction) protège vos organisations contre les menaces potentielles cachées dans les fichiers. Notre technologie de prévention des menaces suppose que tous les fichiers entrant dans votre réseau sont malveillants, puis déconstruit, assainit et reconstruit chaque fichier en supprimant tout contenu suspect.
Deep CDR supprime toutes les commandes nuisibles cmd.exe et powershell.exe présentes dans les fichiers LNK. Dans l'exemple ci-dessus d'un cheval de Troie dans une offre d'emploi LinkedIn, le fichier LNK infecté était caché dans un fichier ZIP. Deep CDR traite plusieurs niveaux de fichiers d'archive imbriqués, détecte les composants infectés et supprime le contenu nuisible. Le logiciel malveillant est ainsi inactivé et ne peut plus être exécuté dans les fichiers sûrs.
En outre, OPSWAT permet aux utilisateurs d'intégrer plusieurs technologies propriétaires afin de fournir des couches supplémentaires de protection contre les logiciels malveillants. Un exemple est Multiscanning, qui permet aux utilisateurs de scanner simultanément avec plus de 30 moteurs anti-malware (utilisant AI/ML, signatures, heuristiques, etc.) pour atteindre des taux de détection proches de 100 %. ) pour atteindre des taux de détection proches de 100 %. À titre de comparaison, un seul moteur AV ne peut détecter en moyenne que 40 à 80 % des virus.
En savoir plus Deep CDR, Multiscanninget d'autres technologies ; ou parlez à un expert OPSWAT pour découvrir la meilleure solution de sécurité pour se protéger contre les attaques Zero-day et d'autres menaces de logiciels malveillants évasifs avancés.
