Windows-genvejs-malware dukker op igen i et nyt, skjult angreb

Cyberkriminelle har genoplivet et klassisk infektionstrick. Denne gang bruges Windows-genvejs-malware til lydløst at levere skadelig software.

En ny kampagne, afdækket af cybersikkerhedsforskere, viser, at angribere misbruger .LNK-filer – altså Windows-genveje – til at sprede malware. Teknikken er ikke ny, men denne operation anvender lag af sløring, der gør den sværere at opdage.

Sådan fungerer malwaren

I stedet for at bruge traditionelle phishing-links eller dokumenter med makroer, gemmer angriberne .LNK-filer i ZIP-arkiver. Når de åbnes, aktiverer genvejene kommandoer, som i det skjulte installerer malware.

Sikkerhedseksperter mener, at infektionskæden kan levere bagdøre eller fjernadgangsværktøjer (RATs), hvilket giver angribere vedvarende kontrol over kompromitterede systemer.

Genvejene ser harmløse ud ved første øjekast. Men bag kulisserne kalder de på PowerShell-scripts eller DLL-filer, som ligger i det samme arkiv.

Hvorfor metoden stadig virker

Selvom den er gammeldags, virker .LNK-baserede angreb stadig, fordi mange brugere stoler på genvejsfiler. Visse sikkerhedsløsninger markerer dem ikke som mistænkelige, medmindre de forbindes med kendt malware.

Den nye kampagne anvender flere lag af sløring for at undgå opdagelse. Scripts er kodede, og nyttelasten er komprimeret, hvilket gør analyse vanskelig. I nogle tilfælde hentes malware eksternt og aktiveres først efter en forsinkelse.

Hvem står bag angrebet?

Forskerne har endnu ikke forbundet kampagnen med en kendt hackergruppe. Men graden af kompleksitet tyder på, at avancerede aktører er involveret. Efterforskningen er stadig i gang.

Konklusion

Genopblomstringen af Windows-genvejs-malware viser, at gamle metoder stadig udgør en reel trussel, når de anvendes kreativt. Brugere bør undgå at åbne genvejsfiler fra ukendte kilder og sørge for at holde deres sikkerhedssoftware opdateret. I takt med at cyberkriminelle udvikler deres metoder, er opmærksomhed og forebyggelse det bedste forsvar.