La decisione di Microsoft lo scorso anno di bloccare le macro (In informatica, il termine macro sta ad indicare una procedura, ovvero un “insieme” o “blocco” di comandi o istruzioni, tipicamente ricorrente durante l’esecuzione di un programma) per impostazione predefinita nelle applicazioni di Office sta costringendo i malintenzionati a trovare altri strumenti con cui lanciare attacchi informatici, inclusi i file LNK, le scorciatoie che Windows utilizza per puntare ad altri file.
“Quando Microsoft ha annunciato le modifiche al comportamento delle macro in Office alla fine del 2021, pochissime delle famiglie di malware più diffuse hanno utilizzato i file LNK come parte della loro catena di infezione iniziale“, ha scritto Guilherme Venere, ricercatore di minacce presso Talos. “In generale, i file LNK vengono utilizzati da malware di tipo worm come Raspberry Robin per diffondersi su dischi rimovibili o condivisioni di rete“.
I file stanno anche aiutando i criminali ad ottenere l’accesso iniziale ai sistemi delle vittime prima di eseguire minacce come il malware backdoor Qakbot.
Anche il gruppo APT (Advanced Persistent Threat) Gamaredon ha utilizzato i file LNK, inclusa una campagna iniziata nell’agosto 2022 contro le organizzazioni in Ucraina.
Il passaggio ad altre tecniche e strumenti sulla scia delle macro VBA di Microsoft è stato rapido. Subito dopo il blocco delle macro, i ricercatori di Proofpoint hanno notato che i criminali informatici stavano cercando alternative, inclusi allegati ISO e RAR, oltre a file LNK.
A dicembre, i ricercatori di Talos hanno affermato che alcuni gruppi APT e famiglie di malware si stavano spostando su file XLL in Excel.
La capacità di adattamento dei gruppi di malware non è sorprendente, secondo Mike Parkin, ingegnere tecnico senior presso Vulcan Cyber. “Abbiamo visto gli attori delle minacce evolversi rapidamente in risposta ai cambiamenti nelle difese del loro bersaglio o ai cambiamenti nella superficie di attacco“. “Le macro di Office erano state un vettore preferito, quindi non è stata una sorpresa che gli aggressori abbiano trovato qualcos’altro da utilizzare sotto forma di file LNK“.
L’utilizzo di file LNK dannosi per l’accesso iniziale “è una tecnica intelligente utilizzata da anni, anche negli attacchi Stuxnet scoperti per la prima volta nel 2010 Phil Neray, vicepresidente della strategia di difesa informatica di CardinalOps . “È una tecnica efficace perché sfrutta una caratteristica fondamentale di Windows, ovvero l’avvio automatico degli eseguibili utilizzando i metadati memorizzati nel file LNK.”
Inoltre, gli aggressori stanno sviluppando i propri file LNK dannosi attraverso strumenti di creazione pubblicamente disponibili come MLNK Builder, Quantum Builder e RustLNKBuilder, che li aiutano a eludere il rilevamento.
“Creando con cura questi file LNK, si può indurre a bypassare alcune delle misure di sicurezza in atto e far eseguire download ed codice dannoso, tra le altre cose”, ha affermato Parkin di Vulcan Cyber. “Il rapido cambio di approccio degli aggressori dalle macro ai file LNK sottolinea che abbiamo a che fare con avversari che possono essere piuttosto creativi nel trovare nuovi modi per abusare delle funzionalità esistenti”.