Wie Malware in LNK-Dateien versteckt werden kann und wie Unternehmen sich schützen können.
Cyberkriminelle sind immer auf der Suche nach innovativen Techniken, um die Sicherheitsabwehr anzugreifen. Je unauffälliger die Malware ist, desto schwieriger ist es, sie zu erkennen und zu entfernen. Bedrohungsakteure nutzen diese Taktik, um schwer zu entdeckende Malware in Verknüpfungsdateien (LNK-Dateien) einzufügen und so eine zuverlässige Anwendung in eine gefährliche Bedrohung zu verwandeln.
Vor weniger als einem Monat begann eine neue Spear-Phishing-Kampagne, die Fachleute auf LinkedIn mit einem ausgeklügelten Backdoor-Trojaner namens "more_eggs" anspricht , der sich in einem Jobangebot versteckt.
LinkedIn-Kandidaten erhielten auf ihren LinkedIn-Profilen bösartige ZIP-Archivdateien mit den Namen der Jobtitel der Opfer. Als die Opfer die gefälschten Jobangebote öffneten, initiierten sie unwissentlich die heimliche Installation der dateilosen Backdoor "more_eggs". Einmal auf einem Gerät installiert, kann die ausgeklügelte Backdoor weitere bösartige Plugins abrufen und den Hackern Zugang zu den Computern der Opfer verschaffen.
Sobald sich der Trojaner auf dem Computersystem befindet, können Bedrohungsakteure in das System eindringen und es mit anderen Arten von Malware wie Ransomware infizieren, Daten stehlen oder Daten exfiltrieren. Golden Eggs, die Bedrohungsgruppe, die hinter dieser Malware steckt, verkaufte sie als MaaS (Malware-as-a-Service), damit ihre Kunden sie nutzen können.
Was sind LNK-Dateien?
LNK ist eine Dateinamenerweiterung für Verknüpfungen zu lokalen Dateien in Windows. LNK-Dateiverknüpfungen bieten schnellen Zugriff auf ausführbare Dateien (.exe), ohne dass der Benutzer den vollständigen Pfad des Programms navigieren muss.
Dateien mit dem Shell Link Binary File Format (.LNK) enthalten Metadaten über die ausführbare Datei, einschließlich des ursprünglichen Pfads zur Zielanwendung.
Windows verwendet diese Daten, um das Starten von Anwendungen, das Verknüpfen von Szenarien und das Speichern von Anwendungsreferenzen auf eine Zieldatei zu unterstützen.
Wir alle verwenden LNK-Dateien als Verknüpfungen auf unserem Desktop, in der Systemsteuerung, im Task-Menü und im Windows Explorer.
Malware kann sich in Ihrem schwächsten LNK verstecken
Da LNK-Dateien eine bequeme Alternative zum Öffnen einer Datei bieten, können Bedrohungsakteure sie nutzen, um skriptbasierte Bedrohungen zu erstellen. Eine dieser Methoden ist die Verwendung von PowerShell.
PowerShell ist eine robuste Befehlszeilen- und Shell-Skriptsprache, die von Microsoft entwickelt wurde. Da PowerShell unauffällig im Hintergrund ausgeführt wird, bietet sie Hackern eine perfekte Gelegenheit, bösartigen Code einzufügen.Viele Cyberkriminelle haben sich dies zunutze gemacht, indem sie PowerShell-Skripte in LNK-Dateien ausgeführt haben.
Diese Art von Angriffsszenario ist nicht neu. LNK-Datei-Exploits waren bereits 2013 weit verbreitet und sind auch heute noch eine aktive Bedrohung. Einige aktuelle Szenarien beinhalten die Verwendung dieser Methode zum Einfügen von Malware in COVID-19-bezogene Dokumente oder zum Anhängen einer ZIP-Datei mit einem getarnten PowerShell-Virus an eine Phishing-E-Mail.
Wie Cyberkriminelle LNK-Dateien für bösartige Zwecke verwenden
Bedrohungsakteure können ein bösartiges Skript in den PowerShell-Befehl des Zielpfads der LNK-Datei einschleusen.
In einigen Fällen können Sie den Code unter Windows-Eigenschaften sehen:
Aber manchmal ist es schwierig, das Problem zu erkennen:
Die Pfad-URL sieht harmlos aus. Allerdings befindet sich nach der Eingabeaufforderung (cmd.exe) eine Reihe von Leerzeichen. Da das Feld "Ziel" ein Zeichenlimit von 260 hat, können Sie im LNK-Analysetool nur den vollständigen Befehl sehen. Ein bösartiger Code wurde heimlich nach den Leerzeichen eingefügt:
Sobald der Benutzer die LNK-Datei öffnet, infiziert die Malware seinen Computer, in den meisten Fällen ohne dass der Benutzer etwas bemerkt.
Wie Deep CDR LNK-Datei-Angriffe verhindern kann
Deep CDR (Content Disarm and Reconstruction) schützt Ihr Unternehmen vor potenziellen Bedrohungen, die in Dateien versteckt sind. Unsere Technologie zur Bedrohungsabwehr geht davon aus, dass alle Dateien, die in Ihr Netzwerk gelangen, bösartig sind. Anschließend wird jede Datei dekonstruiert, bereinigt und neu erstellt, wobei alle verdächtigen Inhalte entfernt werden.
Deep CDR entfernt alle schädlichen cmd.exe- und powershell.exe-Befehle, die in LNK-Dateien enthalten sind. Im obigen Beispiel eines Trojaners in einem LinkedIn-Stellenangebot war die infizierte LNK-Datei in einer ZIP-Datei versteckt. Deep CDR verarbeitet mehrere Ebenen von verschachtelten Archivdateien, erkennt infizierte Komponenten und entfernt schädliche Inhalte. Als Ergebnis wird die Malware inaktiviert und kann nicht mehr in den Safe-to-Consume-Dateien ausgeführt werden.
Darüber hinaus ermöglicht OPSWAT die Integration mehrerer proprietärer Technologien, um zusätzlichen Schutz vor Malware zu bieten. Ein Beispiel dafür ist Multiscanning, das es den Nutzern ermöglicht, gleichzeitig mit 30+ Anti-Malware-Engines zu scannen (unter Verwendung von KI/ML, Signaturen, Heuristik usw.), um Erkennungsraten von nahezu 100 % zu erreichen. Vergleichen Sie dies mit einer einzigen AV-Engine, die im Durchschnitt nur 40-80 % der Viren erkennen kann.
Erfahren Sie mehr über Deep CDR, Multiscanning, und andere Technologien; oder sprechen Sie mit einem Experten von OPSWAT , um die beste Sicherheitslösung zum Schutz vor Zero-Day-Angriffen und anderen Bedrohungen durch fortschrittliche, ausweichende Malware zu finden.
