Los ciberdelincuentes utilizan cada vez más archivos LNK maliciosos como primer método de acceso para descargar y ejecutar cargas útiles como Bumblebee, IcedID y Qakbot.
Un estudio reciente realizado por expertos en ciberseguridad ha demostrado que es posible identificar relaciones entre diferentes actores de amenazas mediante el análisis de los metadatos de archivos LNK maliciosos y el descubrimiento de información como las herramientas y técnicas específicas utilizadas por diferentes grupos de ciberdelincuentes, así como las conexiones potenciales. entre ellos ataques aparentemente no relacionados.
«Dado el uso cada vez mayor de archivos LNK en cadenas de ataque, es lógico que los atacantes hayan comenzado a desarrollar y utilizar herramientas para crear dichos archivos», dijo Guilherme Venere, investigador de Cisco Talos, en un informe compartido con The Hacker News.
Esto incluye herramientas como mLNK Builder y Quantum Builder de NativeOne, que permiten a los suscriptores crear archivos de acceso directo engañosos y eludir las soluciones de seguridad.
Las principales familias de malware que han usado archivos LNK para el acceso inicial incluyen Bumblebee, IcedID y Qakbot, con Talos identificando conexiones entre Bumblebee e IcedID y Bumblebee y Qakbot al examinar los metadatos de los artefactos.
En particular, se ha encontrado que múltiples ejemplos de archivos LNK que conducen a infecciones IcedID y Qakbot y los que se utilizan en diferentes campañas de Bumblebee comparten el mismo número de serie de unidad.
Los archivos LNK también han sido utilizados por grupos de amenazas persistentes avanzadas (APT) como Gamaredon (también conocido como Armageddon) en sus ataques a las oficinas del gobierno ucraniano.
El notable aumento de las campañas de accesos directos maliciosos se observa en respuesta a la decisión de Microsoft de deshabilitar las macros de forma predeterminada en los documentos de Office descargados de la web, lo que llevó a los actores de amenazas a utilizar tipos de archivos adjuntos y mecanismos de entrega alternativos para propagar el malware.
Un análisis reciente realizado por Talos y Trustwave ha revelado cómo tanto los actores de APT como las familias de malware básico están utilizando como armas los archivos de complementos de Excel (.xll) y las macros de los editores para colocar troyanos de acceso remoto en las computadoras comprometidas.
Además, se ha observado que los actores de amenazas aprovechan los anuncios engañosos de Google y la optimización de motores de búsqueda (SEO) para propagar malware estándar como BATLOADER, IcedID, Rhadamanthys Stealer y Vidar a las víctimas que buscan un montón de software legítimo.
BATLOADER, asociado con un conjunto de intrusiones rastreado por Trend Micro como Water Minyades, es un «malware evasivo y evolutivo» capaz de instalar malware adicional, incluidos Cobalt Strike, Qakbot, Raccoon Stealer, RedLine Stealer, SmokeLoader, Vidar y ZLoader.
«Los atacantes se hacen pasar por los sitios web de proyectos de software populares para engañar a las víctimas para que infecten sus computadoras y compren anuncios de búsqueda para dirigir el tráfico allí», dijo Patrick Schläpfer, investigador de seguridad de HP Wolf.