О, нежелательные ярлыки Windows возвращаются

Упс, подозрительные ярлыки Windows появились снова

Вирусные файлы ярлыков Windows, предназначенные для заражения жертв вредоносным ПО, недавно были обнаружены в широком доступе, по крайней мере, в двух случаях.

Varonis’s Cyber Security Resilience Framework признает, что Emotet и, менее оперативно, Golden Chickens (он же Venom Spider) были замечены в ужасном распространении путем распространения ZIP-архивов по электронной почте, а также файлов .LNK внутри архивов.

Использование файлов ярлыков Windows для развертывания вредоносных программ или программ выкупа (скрытых в другой обложке) для обнаружения конечной точки (открытой в новой обложке) не совсем ново, но эти обложки придают идее совершенно новый смысл.

Поделитесь своими мыслями о кибербезопасности и получите бесплатную копию книги Hacker’s Guide 2022 (откроется в новой вкладке). Помогите нам понять, как компания готовится к миру после пандемии COVID-19 и как она влияет на действия своей программы кибербезопасности. Введите свой адрес электронной почты в конце этого опроса (откроется в отдельной вкладке), чтобы получить экземпляр книжного журнала за £10,99.

Ярлыки, выдающие за PDF-файлы

Большинство читателей, вероятно, сами устанавливают ярлыки игр на рабочем столе, как они это делали раньше.

В данном конкретном расследовании мы заменили оригинальный значок ярлыка на значок файла .PDF, чтобы у нас не возникло подозрений, что жертва получила вложение электронной почты, которое не подлежит обычным выводам.

Однако опасность реальна. Файлы ярлыков Windows могут использоваться для перенаправления практически любого вредоносного ПО на целевую конечную точку, и в данном случае полезная нагрузка Emotet была загружена в каталог %TEMP% жертвы. В случае успеха полезная нагрузка Emotet будет загружена в память через «regsvr32.exe», а оригинальный дроппер будет удален из каталога %TEMP%.

Входящие вложения электронной почты необходимо отслеживать, чтобы изолировать и блокировать любое подозрительное содержимое (включая сжатые ZIP-файлы с ярлыками Windows).

Администраторы также должны сократить количество неожиданных двоичных файлов и сценариев. Из каталога %TEMP% ограничьте доступ пользователей к обработчикам сценариев Windows, таким как PowerShell и VBScript. они также должны использовать групповую политику для подписки на события.

Сеид Фадильпахич

Microsoft заблокировала установку обновлений для инсайдеров Windows 11 в России.

Microsoft заблокировала установку обновлений для инсайдеров Windows 11 в России. Подпишитесь на канал!!! Ставь ...

Tags:

We will be happy to hear your thoughts

Добавить комментарий

Technik News
Logo
Enable registration in settings - general