Les cybercriminels exploitent de plus en plus les fichiers LNK malveillants comme méthode d’accès initiale pour télécharger et exécuter des charges utiles telles que Bumblebee, IcedID et Qakbot.

Une étude récente menée par des experts en cybersécurité a montré qu’il est possible d’identifier les relations entre les différents acteurs de la menace en analysant les métadonnées des fichiers LNK malveillants, en découvrant des informations telles que les outils et techniques spécifiques utilisés par différents groupes de cybercriminels, ainsi que les liens potentiels entre attaques apparemment sans rapport.

« Avec l’utilisation croissante des fichiers LNK dans les chaînes d’attaque, il est logique que les acteurs de la menace aient commencé à développer et à utiliser des outils pour créer de tels fichiers », a déclaré Guilherme Venere, chercheur chez Cisco Talos, dans un rapport partagé avec breachtrace.

Cela comprend des outils tels que mLNK Builder et Quantum Builder de NativeOne, qui permettent aux abonnés de générer des fichiers de raccourcis malveillants et d’échapper aux solutions de sécurité.

Certaines des principales familles de logiciels malveillants qui ont utilisé les fichiers LNK pour l’accès initial incluent Bumblebee, IcedID et Qakbot, Talos identifiant les connexions entre Bumblebee et IcedID ainsi que Bumblebee et Qakbot en examinant les métadonnées des artefacts.

Plus précisément, plusieurs échantillons de fichiers LNK conduisant à des infections IcedID et Qakbot et ceux qui ont été utilisés dans différentes campagnes Bumblebee se sont tous avérés partager le même numéro de série de lecteur.

Les fichiers LNK ont également été utilisés par des groupes de menaces persistantes avancées (APT) comme Gamaredon (alias Armageddon) dans ses attaques visant des entités gouvernementales ukrainiennes.

lnk

Le pic notable des campagnes utilisant des raccourcis malveillants est considéré comme une réponse réactive à la décision de Microsoft de désactiver les macros par défaut dans les documents Office téléchargés depuis Internet, incitant les acteurs de la menace à adopter d’autres types de pièces jointes et mécanismes de distribution pour distribuer des logiciels malveillants.

Des analyses récentes de Talos et Trustwave ont révélé comment les acteurs APT et les familles de logiciels malveillants de base militarisent les fichiers de complément Excel (XLL) et les macros Publisher pour supprimer les chevaux de Troie d’accès à distance sur les machines compromises.

De plus, il a été observé que des acteurs de la menace profitaient de l’empoisonnement de Google Ads et de l’optimisation des moteurs de recherche (SEO) pour diffuser des logiciels malveillants prêts à l’emploi tels que BATLOADER, IcedID, Rhadamanthys Stealer et Vidar aux victimes à la recherche d’un grand nombre de logiciels légitimes.

BATLOADER, associé à un ensemble d’intrusions suivi par Trend Micro sous le nom de Water Minyades, est un « logiciel malveillant évasif et évolutif » capable d’installer des logiciels malveillants supplémentaires, notamment Cobalt Strike, Qakbot, Raccoon Stealer, RedLine Stealer, SmokeLoader, Vidar et ZLoader.

« Les attaquants imitent les sites Web de projets logiciels populaires pour inciter les victimes à infecter leurs ordinateurs et à acheter des publicités sur les moteurs de recherche pour y générer du trafic », a déclaré Patrick Schläpfer, chercheur chez HP Wolf Security.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *