Les cybercriminels exploitent de plus en plus les fichiers LNK malveillants comme méthode d’accès initiale pour télécharger et exécuter des charges utiles telles que Bumblebee, IcedID et Qakbot.
Une étude récente menée par des experts en cybersécurité a montré qu’il est possible d’identifier les relations entre les différents acteurs de la menace en analysant les métadonnées des fichiers LNK malveillants, en découvrant des informations telles que les outils et techniques spécifiques utilisés par différents groupes de cybercriminels, ainsi que les liens potentiels entre attaques apparemment sans rapport.
« Avec l’utilisation croissante des fichiers LNK dans les chaînes d’attaque, il est logique que les acteurs de la menace aient commencé à développer et à utiliser des outils pour créer de tels fichiers », a déclaré Guilherme Venere, chercheur chez Cisco Talos, dans un communiqué. rapport partagé avec The Hacker News.
Cela comprend des outils comme NativeOnec’est Constructeur mLNK et Quantum Builder, qui permettent aux abonnés de générer des fichiers de raccourcis malveillants et d’échapper aux solutions de sécurité.
Certaines des principales familles de logiciels malveillants qui ont utilisé les fichiers LNK pour l’accès initial incluent Bumblebee, IcedID et Qakbot, Talos identifiant les connexions entre Bumblebee et IcedID ainsi que Bumblebee et Qakbot en examinant les métadonnées des artefacts.
Plus précisément, plusieurs échantillons de fichiers LNK conduisant à des infections IcedID et Qakbot et ceux qui ont été utilisés dans différentes campagnes Bumblebee se sont tous avérés partager le même numéro de série de lecteur.
Les fichiers LNK ont également été utilisés par des groupes de menaces persistantes avancées (APT) comme Gamaredon (alias Armageddon) dans son attaques destiné aux entités gouvernementales ukrainiennes.
Le pic notable des campagnes utilisant des raccourcis malveillants est considéré comme une réponse réactive à la décision de Microsoft de désactiver les macros par défaut dans les documents Office téléchargés depuis Internet, incitant les acteurs de la menace à adopter d’autres types de pièces jointes et mécanismes de distribution pour distribuer des logiciels malveillants.
Des analyses récentes de Talos et Trustwave ont révélé comment les acteurs APT et les familles de logiciels malveillants de base militarisent les fichiers de complément Excel (XLL) et les macros Publisher pour supprimer les chevaux de Troie d’accès à distance sur les machines compromises.
De plus, des acteurs de la menace ont été observés en train de profiter de voyous Annonces Google et l’empoisonnement de l’optimisation des moteurs de recherche (SEO) pour pousser les logiciels malveillants prêts à l’emploi comme BATLOADER, IcedID, Rhadamanthys Stealer et Vidar aux victimes à la recherche d’un grand nombre de logiciels légitimes.
BATLOADER, associé à un ensemble d’intrusions suivi par Trend Micro comme Minyades d’eauest un « logiciel malveillant évasif et évolutif » capable d’installer des logiciels malveillants supplémentaires, notamment Cobalt Strike, Qakbot, Raccoon Stealer, RedLine Stealer, SmokeLoader, Vidar et ZLoader.
« Les attaquants imitent les sites Web de projets logiciels populaires pour inciter les victimes à infecter leurs ordinateurs et à acheter des publicités sur les moteurs de recherche pour y générer du trafic », Patrick Schläpfer, chercheur chez HP Wolf Security m’a dit.
