Dado que las macros de Office ya no son la mejor manera de entregar cargas útiles maliciosas a los puntos finales (se abre en una pestaña nueva) En todo el mundo, los ciberdelincuentes están recurriendo a estrategias novedosas, incluido el uso de archivos de acceso directo (.lnk).
Los hallazgos de HP Wolf Security basados en datos de millones de terminales afirman que ha habido un aumento del 11 % en los archivos que contienen malware, incluidos los archivos .lnk, en comparación con el trimestre anterior. A veces, los actores de amenazas colocarían estos accesos directos en archivos .zip antes de enviarlos por correo, para evitar ser detectados por cualquier antivirus. (se abre en una pestaña nueva) soluciones o medidas de protección de correo electrónico.
Hay dos elementos clave para atajar archivos que los convierten en un arma ideal para el malware (se abre en una pestaña nueva) distribución: se pueden hacer para ejecutar prácticamente cualquier archivo, y pueden tener cualquier icono que venga preinstalado con Windows. Dicho esto, los actores de amenazas pueden darle un ícono de un archivo .pdf y hacer que ejecute un archivo .exe, .log o .dll, que podría cargar prácticamente cualquier virus. En algunos casos, los piratas informáticos incluso abusarían de aplicaciones legítimas de Windows, como la antigua Calculadora, para sus nefastos propósitos.
Distribuyendo RedLine Stealer
La mayoría de las veces, afirma el informe, los actores de amenazas utilizan archivos de acceso directo para propagar QakBot, IceID, Emotet y RedLine Stealer. También abusan de la vulnerabilidad de día cero de Follina (CVE-2022-30190), agregaron los investigadores.
“A medida que las macros descargadas de la web se bloquean de forma predeterminada en Office, seguimos de cerca los métodos de ejecución alternativos que están probando los ciberdelincuentes. Abrir un acceso directo o un archivo HTML puede parecer inofensivo para un empleado, pero puede resultar en un gran riesgo para la empresa”, explica Alex Holland, analista sénior de malware, equipo de investigación de amenazas de HP Wolf Security, HP Inc.
“Las organizaciones deben tomar medidas ahora para protegerse contra las técnicas cada vez más favorecidas por los atacantes o quedar expuestas a medida que se vuelven omnipresentes. Recomendamos bloquear de inmediato los archivos de acceso directo recibidos como archivos adjuntos de correo electrónico o descargados de la web siempre que sea posible”.
Además de los archivos .lnk, Holland también menciona los archivos HTML. La empresa identificó un par de campañas de phishing en las que los actores de amenazas se hacen pasar por servicios postales regionales y usan archivos HTML para entregar malware. Estos archivos son buenos para ocultar tipos maliciosos que, de lo contrario, serían detectados por las puertas de enlace de correo electrónico y los servicios de protección contra malware.