Office makroları artık kötü amaçlı yükleri uç noktalara iletmenin en iyi yolu olmadığından (yeni sekmede açılır) dünya çapında siber suçlular, kısayol (.lnk) dosyalarını kullanmak da dahil olmak üzere yeni stratejilere yöneliyor.
Milyonlarca uç noktadan alınan verilere dayanan HP Wolf Security’nin bulguları, .lnk dosyaları da dahil olmak üzere kötü amaçlı yazılım içeren arşiv dosyalarında önceki çeyreğe kıyasla %11’lik bir artış olduğunu iddia etti. Bazen tehdit aktörleri, herhangi bir antivirüs tarafından algılanmamak için bu kısayolları postalamadan önce .zip dosyalarına yerleştirirdi. (yeni sekmede açılır) çözümler veya e-posta koruma önlemleri.
Dosyaları kötü amaçlı yazılımlar için ideal bir silah haline getiren kısayol dosyalarının iki temel öğesi vardır. (yeni sekmede açılır) dağıtım: hemen hemen her dosyayı çalıştıracak şekilde yapılabilirler ve Windows ile önceden yüklenmiş olarak gelen herhangi bir simgeye sahip olabilirler. Bununla birlikte, tehdit aktörleri ona bir .pdf dosyası simgesi verebilir ve hemen hemen her türlü virüsü yükleyebilecek bir .exe, .log veya bir .dll dosyası çalıştırmasını sağlayabilir. Bazı durumlarda, bilgisayar korsanları, eski güzel Hesap Makinesi gibi meşru Windows uygulamalarını, hain amaçları için bile kötüye kullanırlar.
RedLine Stealer’ı Dağıtma
Rapor ayrıca, çoğu zaman tehdit aktörlerinin QakBot, IceID, Emotet ve RedLine Stealer’ı yaymak için kısayol dosyaları kullandığını belirtiyor. Araştırmacılar ayrıca, Follina sıfır gün güvenlik açığını (CVE-2022-30190) kötüye kullandıklarını da ekledi.
“Web’den indirilen makrolar Office’te varsayılan olarak engellendiğinden, siber suçlular tarafından test edilen alternatif yürütme yöntemlerini yakından takip ediyoruz. Bir kısayol veya HTML dosyası açmak bir çalışan için zararsız görünebilir ancak kuruluş için büyük bir riske neden olabilir,” diye açıklıyor HP Inc., HP Wolf Security tehdit araştırma ekibi Kıdemli Kötü Amaçlı Yazılım Analisti Alex Holland.
“Kuruluşlar, saldırganlar tarafından giderek daha fazla tercih edilen tekniklere karşı korunmak veya yaygınlaştıkça kendilerini açıkta bırakmak için şimdi adımlar atmalıdır. E-posta eki olarak alınan veya mümkün olduğunda web’den indirilen kısayol dosyalarını hemen engellemenizi öneririz.”
Holland, .lnk dosyalarının yanı sıra HTML dosyalarından da bahseder. Şirket, tehdit aktörlerinin bölgesel posta hizmetleri gibi davrandığı ve kötü amaçlı yazılım dağıtmak için HTML dosyalarını kullandığı birkaç kimlik avı kampanyası belirledi. Bu dosyalar, aksi takdirde e-posta ağ geçitleri ve kötü amaçlı yazılım koruma hizmetleri tarafından alınabilecek kötü amaçlı türleri gizlemede iyidir.