Los ciberdelincuentes aprovechan cada vez más los archivos LNK maliciosos como método de acceso inicial para descargar y ejecutar cargas útiles como Bumblebee, IcedID y Qakbot.
Un estudio reciente realizado por expertos en ciberseguridad ha demostrado que es posible identificar relaciones entre diferentes actores de amenazas mediante el análisis de los metadatos de archivos LNK maliciosos, descubriendo información como las herramientas y técnicas específicas utilizadas por diferentes grupos de ciberdelincuentes, así como vínculos potenciales entre ataques aparentemente no relacionados.
«Con el uso cada vez mayor de archivos LNK en las cadenas de ataque, es lógico que los actores de amenazas hayan comenzado a desarrollar y utilizar herramientas para crear dichos archivos», dijo el investigador de Cisco Talos, Guilherme Venere, en un comunicado. informe compartido con The Hacker News.
Esto comprende herramientas como NativeOne‘s Constructor de mLNK y Quantum Builder, que permite a los suscriptores generar archivos de acceso directo no autorizados y evadir las soluciones de seguridad.
Algunas de las principales familias de malware que han usado archivos LNK para el acceso inicial incluyen Bumblebee, IcedID y Qakbot, con Talos identificando conexiones entre Bumblebee e IcedID, así como Bumblebee y Qakbot al examinar los metadatos de los artefactos.
Específicamente, se ha encontrado que múltiples muestras de archivos LNK que conducen a infecciones IcedID y Qakbot y aquellos que se usaron en diferentes campañas de Bumblebee comparten el mismo número de serie de unidad.
Los archivos LNK también han sido empleados por grupos de amenazas persistentes avanzadas (APT) como Gamaredon (también conocido como Armageddon) en su ataques dirigido a entidades del gobierno ucraniano.
El aumento notable en las campañas que utilizan accesos directos maliciosos se considera una respuesta reactiva a la decisión de Microsoft de deshabilitar las macros de forma predeterminada en los documentos de Office descargados de Internet, lo que llevó a los actores de amenazas a adoptar tipos de archivos adjuntos y mecanismos de entrega alternativos para distribuir malware.
Los análisis recientes de Talos y Trustwave han revelado cómo los actores de APT y las familias de malware de productos básicos están armando archivos de complemento de Excel (XLL) y macros de Publisher para colocar troyanos de acceso remoto en máquinas comprometidas.
Es más, se ha observado que los actores de amenazas se aprovechan de los ataques deshonestos. Anuncios de Google y el envenenamiento por optimización de motores de búsqueda (SEO) para enviar malware estándar como BATLOADER, IcedID, Rhadamanthys Stealer y Vidar a las víctimas que buscan una gran cantidad de software legítimo.
BATLOADER, asociado con un conjunto de intrusión rastreado por Trend Micro como Minyades de aguaes un «malware evasivo y evolutivo» que es capaz de instalar malware adicional, incluidos Cobalt Strike, Qakbot, Raccoon Stealer, RedLine Stealer, SmokeLoader, Vidar y ZLoader.
«Los atacantes están imitando los sitios web de proyectos de software populares para engañar a las víctimas para que infecten sus computadoras y compren anuncios de motores de búsqueda para dirigir el tráfico allí», dijo Patrick Schläpfer, investigador de HP Wolf Security. dicho.