Вредоносные LNK-ярлыки маскируются под резюме и ставят бэкдор

Специалисты по кибербезопасности зафиксировали новую многоступенчатую атаку, в которой злоумышленники используют malicious LNK files, замаскированные под безобидные документы резюме. Такие файлы нередко получают названия, имитирующие реальные отклики на вакансии: с упоминанием компаний, должностей и формально «деловых» именований. При открытии они демонстрируют пользователю правдоподобный документ, одновременно запуская вредоносную цепочку в фоновом режиме.

Как работает атака

После взаимодействия с LNK-файлом в системе начинают создаваться дополнительные компоненты — пакетные файлы .bat, скрипты PowerShell (.ps1) и файлы VBScript (.vbs). По данным отчета, эта последовательность встроена прямо в ярлык и разворачивается в директории C:UsersPublicVideos.

Далее создается задача в Task Scheduler с именем «office365», которая запускает VBScript каждые десять минут. Этот механизм обеспечивает постоянство угрозы: вредоносная активность возобновляется даже после перезагрузки системы или ручного завершения процессов.

• LNK запускает скрытую цепочку скриптов;
• .bat и .vbs файлы обеспечивают дальнейшее выполнение;
• PowerShell-скрипт создаёт задачу Task Scheduler;
• вредоносный код получает устойчивость в системе.

Загрузка дополнительных компонентов

VBScript вызывает пакетный файл, который использует команду curl для загрузки дополнительных вредоносных компонентов с внешнего сервера. Часть файлов передается в формате Base64; после декодирования они сохраняются как скрипты PowerShell в директории C:UsersPublicPictures.

Затем скрипт p2.ps1 создает ярлык в папке автозагрузки, закрепляя вредоносное поведение при каждом старте системы. На этом этапе он также расшифровывает ранее загруженные файлы, формируя исполняемые файлы, DLL и дополнительные файлы данных.

DLL side-loading и Xctdoor

Одной из ключевых техник атаки является DLL side-loading. В данном случае легитимный исполняемый файл ProximityUxHost.exe используется для загрузки вредоносной библиотеки ProximityCommon.dll. Встроенный в нее код соответствует варианту бэкдора Xctdoor.

После запуска вредоносная DLL пытается установить соединение с сервером управления, или C2. Это позволяет злоумышленникам сохранять контроль над зараженной системой и потенциально осуществлять эксфильтрацию данных.

Сложность и скрытность этой цепочки атаки затрудняют её обнаружение.

Почему атака опасна

Главная проблема этой кампании — сочетание социальной инженерии, обфускации и устойчивых механизмов закрепления в системе. Злоумышленники используют распространенные названия файлов, имитируют легитимные системные конфигурации и маскируют вредоносную активность под стандартные операции Windows.

В результате даже внимательный пользователь может принять такой файл за обычное резюме, а администраторы безопасности — не сразу заметить цепочку заражения, особенно если она связана с типичными сценариями трудоустройства.

Рекомендации

Эксперты советуют проявлять особую осторожность при работе с файлами, которые выглядят безобидно, но могут содержать вредоносные вложения. В первую очередь это относится к LNK-файлам, особенно если они приходят в контексте откликов на вакансии или других сообщений о трудоустройстве.

• не открывать подозрительные LNK-файлы;
• проверять происхождение вложений и имя отправителя;
• контролировать появление необычных задач в Task Scheduler;
• отслеживать запуск curl, PowerShell и VBScript в нетипичных сценариях;
• проверять папки автозагрузки и пользовательские директории на наличие неожиданных файлов.

В условиях, когда атака строится на доверии к привычным форматам документов, именно осторожность пользователей и постоянный мониторинг со стороны специалистов по безопасности остаются ключевыми средствами защиты.