Los archivos de acceso directo de Windows (LNK), utilizados tradicionalmente para crear enlaces de acceso rápido a aplicaciones y archivos, se han convertido en un vector de ataque prominente en el panorama de seguridad cibernética.
Estos archivos aparentemente inocuos, identificables por su pequeña superposición de iconos de flecha, están siendo cada vez más armados por los actores de amenaza para ejecutar cargas útiles maliciosas mientras mantienen una fachada de legitimidad.
La flexibilidad y la ubicuidad de los archivos LNK en los entornos de Windows los hace atractivos para los ciberdelincuentes que buscan evitar las medidas de seguridad tradicionales.
La explotación maliciosa de los archivos LNK ha alcanzado niveles sobre niveles, con investigadores de ciberseguridad que observan un aumento dramático en su arma.
Estos archivos aprovechan la funcionalidad incorporada de Windows para ejecutar comandos, descargar cargas útiles y establecer persistencia en sistemas comprometidos.
La metodología de ataque a menudo implica disfrazar los archivos LNK maliciosos como documentos legítimos manipulando sus íconos y nombres de archivo para que parezcan confiables para las posibles víctimas.
Analistas de Palo Alto Networks identificado Cuatro categorías distintas de malware LNK a través de un análisis exhaustivo de 30,000 muestras maliciosas.
Distribución de indicadores para las tres estructuras importantes de 30,000 archivos LNK maliciosos (fuente – Palo Alto Networks)
Su investigación reveló que los actores de amenaza han organizado sistemáticamente sus enfoques en exploits LNK, ejecución de archivos maliciosos, ejecución de script en argumento y técnicas de ejecución de contenido de superposición.
Esta categorización demuestra la evolución sofisticada de los ataques basados en LNK y las diversas metodologías empleadas por los cibercriminales.
Archivo LNK para Microsoft Edge (Fuente – Palo Alto Networks)
Los resultados de la investigación indican que PowerShell y el símbolo del sistema sirven como vehículos de ejecución principales para el malware LNK, lo que representa más del 80% de toda la utilización del objetivo del sistema.
Específicamente, PowerShell.exe se aprovecha en el 59.4% de los casos, mientras que CMD.EXE se utiliza en el 25.7% de las muestras maliciosas. Esta gran dependencia de las utilidades nativas de Windows permite a los atacantes ejecutar cargas útiles sin requerir herramientas adicionales.
Ejecución de script en argumento: el vector de ataque dominante
La ejecución del script en argumento representa una de las técnicas más frecuentes empleadas por los operadores de malware LNK.
Este método implica integrar scripts maliciosos directamente dentro del campo Command_Line_arGuments del archivo LNK, transformando efectivamente el atajo en un mecanismo de entrega para cargas útiles maliciosas.
La técnica explota los usuarios de confianza inherentes que colocan en archivos de acceso directo mientras aprovecha los intérpretes de la línea de comandos de Windows.
Estructuras para malware LNK (fuente – Palo Alto Networks)
La implementación a menudo implica la codificación Base64 para ofuscar contenido malicioso. Una estructura de comando de PowerShell típica aparece como:-
PowerShell.exe -nonl -W Hidden -nop -exec bypass -EncodedCommand (base64_string)
Cuando se decodifican, estos comandos con frecuencia contienen instrucciones para descargar DLL maliciosas de servidores remotos y ejecutar cargas útiles secundarias.
La sofisticación se mejora a través de técnicas de ofuscación que incluyen el ensamblaje de comandos y el uso estratégico de las variables de entorno de Windows.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
