Son zamanlarda en az iki tehdit aktörünün, kurbanlara kötü amaçlı yazılım bulaştırmak için tasarlanmış kötü amaçlı Windows kısayol dosyalarını dağıttığı gözlemlendi.
Geçen haftanın sonlarında, Varonis’ten siber güvenlik araştırmacıları, korkunç Emotet tehdit aktörünün yanı sıra daha az bilinen Golden Chickens grubunun (AKA Venom Spider) e-posta yoluyla .ZIP arşivlerini ve bu arşivlerde .LNK dosyalarını dağıttığını bildirdi.
Kötü amaçlı yazılım veya fidye yazılımı dağıtmak için Windows kısayol dosyalarını kullanma (yeni sekmede açılır) hedef uç noktasında (yeni sekmede açılır) tam olarak yeni değil, ancak bu tehdit aktörleri fikre yepyeni bir dönüş yaptı.
PDF dosyaları gibi görünen kısayollar
Eski okuyucuların çoğu, geçmişte oyun masaüstü kısayollarını en azından bir kez özelleştirmekten suçludur.
Bu özel kampanyada, tehdit aktörleri orijinal kısayol simgesini bir .PDF dosyasınınkiyle değiştirdi, böylece hiçbir şeyden şüphelenmeyen kurban, e-posta ekini aldığında, basit bir görsel inceleme ile farkı göremez.
Ama tehlike gerçektir. Windows kısayol dosyaları, neredeyse tüm kötü amaçlı yazılımları hedef uç noktaya bırakmak için kullanılabilir ve bu senaryoda, Emotet yükü kurbanın %TEMP% dizinine indirilir. Başarılı olursa, Emotet yükü “regsvr32.exe” kullanılarak belleğe yüklenirken orijinal damlalık %TEMP% dizininden silinir.
Araştırmacılar, bu saldırılara karşı korunmanın en iyi yolunun gelen her e-posta ekini kapsamlı bir şekilde incelemek ve şüpheli içeriği (Windows kısayollarına sahip ZIP sıkıştırılmış dosyalar dahil) karantinaya almak ve engellemek olduğunu söylüyor.
Yöneticiler ayrıca %TEMP% dizininden beklenmeyen ikili dosyaların ve komut dosyalarının yürütülmesini kısıtlamalı ve PowerShell ve VBScript gibi Windows komut dosyası motorlarına kullanıcı erişimini sınırlandırmalıdır. Ayrıca, komut dosyalarının Grup İlkesi aracılığıyla imzalanması gereğini de sağlamalıdırlar.