Nettkriminelle har gjenopplivet et klassisk infeksjonstriks. Denne gangen brukes Windows-snarvei-malware til å levere skadelig programvare i det stille.
En ny kampanje, avdekket av cybersikkerhetsforskere, viser at angripere misbruker .LNK-filer – altså snarveier i Windows – for å spre skadevare. Teknikken er ikke ny, men denne operasjonen benytter flere lag med tilsløring for å unngå oppdagelse.
Slik fungerer skadevaren
I stedet for å bruke vanlige phishing-lenker eller dokumenter med makroer, gjemmer angriperne .LNK-filer i ZIP-arkiver. Når disse åpnes, utløser snarveiene kommandoer som installerer skadevaren i bakgrunnen.
Sikkerhetseksperter mener infeksjonskjeden kan levere bakdører eller fjernstyringsverktøy (RATs), noe som gir angriperne vedvarende tilgang til kompromitterte enheter.
Snarveiene ser ufarlige ut ved første øyekast, men i bakgrunnen aktiverer de PowerShell-skript eller DLL-filer som også ligger i arkivet.
Hvorfor teknikken fortsatt fungerer
Selv om den er gammeldags, fungerer .LNK-baserte angrep fortsatt fordi mange brukere stoler på snarveier. Enkelte sikkerhetsverktøy varsler ikke om dem med mindre de er koblet til kjent skadevare.
Den nye kampanjen bruker flere lag med tilsløring for å omgå sikkerhetssystemer. Skriptene er kodet, og nyttelasten er komprimert, noe som gjør analyse vanskelig. I noen tilfeller hentes skadevaren eksternt og aktiveres først etter en forsinkelse.
Hvem står bak angrepet?
Forskere har foreløpig ikke klart å knytte kampanjen til noen kjent hackergruppe. Men graden av kompleksitet tyder på at avanserte trusselaktører står bak. Etterforskningen pågår fortsatt.
Konklusjon
At Windows-snarvei-malware vender tilbake, viser at gamle metoder fortsatt kan være farlige når de brukes på kreative måter. Brukere bør unngå å åpne snarveier fra ukjente kilder og holde sikkerhetsprogramvare oppdatert. Når nettkriminelle videreutvikler metodene sine, er bevissthet og forebygging det beste forsvaret.
0 svar til “Windows-snarvei-malware dukker opp igjen i et nytt, snikende angrep”