Les macros Office n’étant plus le meilleur moyen de fournir des charges utiles malveillantes aux points de terminaison (s’ouvre dans un nouvel onglet) Partout dans le monde, les cybercriminels se tournent vers de nouvelles stratégies, notamment en utilisant des fichiers de raccourci (.lnk).
Les conclusions de HP Wolf Security basées sur des données provenant de millions de terminaux indiquent qu’il y a eu une augmentation de 11 % des fichiers d’archives contenant des logiciels malveillants, y compris des fichiers .lnk, par rapport au trimestre précédent. Parfois, les pirates placent ces raccourcis dans des fichiers .zip avant de les envoyer, afin d’éviter d’être détectés par un antivirus. (s’ouvre dans un nouvel onglet) des solutions ou des mesures de protection des e-mails.
Il y a deux éléments clés dans les fichiers de raccourci qui en font une arme idéale pour les logiciels malveillants (s’ouvre dans un nouvel onglet) distribution : ils peuvent être conçus pour exécuter à peu près n’importe quel fichier, et ils peuvent avoir n’importe quelle icône préinstallée avec Windows. Cela étant dit, les pirates peuvent lui attribuer l’icône d’un fichier .pdf et lui faire exécuter un fichier .exe, .log ou .dll, qui pourrait charger à peu près n’importe quel virus. Dans certains cas, les pirates abuseraient même des applications Windows légitimes, telles que la bonne vieille calculatrice, à leurs fins néfastes.
Distribuer le voleur RedLine
La plupart du temps, indique en outre le rapport, les acteurs de la menace utilisent des fichiers de raccourcis pour diffuser QakBot, IceID, Emotet et RedLine Stealer. Ils abusent également de la vulnérabilité zero-day de Follina (CVE-2022-30190), ont ajouté les chercheurs.
« Alors que les macros téléchargées depuis le Web sont bloquées par défaut dans Office, nous surveillons de près les méthodes d’exécution alternatives testées par les cybercriminels. L’ouverture d’un raccourci ou d’un fichier HTML peut sembler inoffensive pour un employé, mais peut entraîner un risque majeur pour l’entreprise », explique Alex Holland, analyste principal des logiciels malveillants, équipe de recherche sur les menaces HP Wolf Security, HP Inc.
« Les organisations doivent prendre des mesures dès maintenant pour se protéger contre les techniques de plus en plus privilégiées par les attaquants ou s’exposer à mesure qu’elles deviennent omniprésentes. Nous vous recommandons de bloquer immédiatement les fichiers de raccourcis reçus sous forme de pièces jointes d’e-mails ou téléchargés à partir du Web dans la mesure du possible. »
Outre les fichiers .lnk, Holland mentionne également les fichiers HTML. La société a identifié quelques campagnes de phishing dans lesquelles des acteurs malveillants se font passer pour des services postaux régionaux et utilisent des fichiers HTML pour diffuser des logiciels malveillants. Ces fichiers cachent bien les types malveillants qui seraient autrement détectés par les passerelles de messagerie et les services de protection contre les logiciels malveillants.