Взрывной рост вредоносных LNK-файлов и новые методы атак

Вредоносные LNK-файлы становятся все более опасным инструментом кибератак

В последние годы злоумышленники всё активнее используют файлы ярлыков Windows (LNK) для доставки вредоносного ПО. Согласно последним данным, количество выявленных образцов вредоносных LNK-файлов выросло с более чем 21 000 в 2023 году до свыше 68 000 в 2024 году. Это свидетельствует о масштабной трансформации тактик атакующих и необходимости повышенного внимания к данной категории угроз.

Что представляет собой угроза?

Файлы LNK служат виртуальными ссылками, позволяющими запускать связанные с ними объекты. Несмотря на свою кажущуюся легитимность, они могут содержать вредоносный контент, что делает их эффективным инструментом для обмана пользователей и обхода систем защиты.

Анализ более 30 000 образцов вредоносных LNK-файлов позволил выделить четыре основных способа их исполнения:

• Использование уязвимостей Windows — LNK-файлы эксплуатируют баги в компонентов операционной системы с помощью специально разработанных эксплойтов. Наиболее часто встречающаяся уязвимость: CVE-2010-2568. Несмотря на то, что многие из таких уязвимостей уже исправлены Microsoft, их до сих пор можно найти в устаревших или плохо обновленных системах.
• Обращение к уже существующим вредоносным файлам — LNK выступают здесь как указатели на скрипты или исполняемые файлы, ранее размещённые на компьютере жертвы. Они сами не содержат вредоносного кода, но служат косвенными «триггерами» для запуска вредоносного ПО.
• Использование аргументов командной строки — через cmd.exe, PowerShell и другие интерпретаторы Windows запускаются встроенные сценарии или загружаются дополнительные вредоносные компоненты из Интернета. Часто применяется обфускация, включая Base64-кодирование и сложную сборку команд, что значительно усложняет их обнаружение.
• Добавление вредоносного контента в легитимные LNK-файлы — техника наложения вредоносных скриптов или двоичных данных внутри структур LNK, что позволяет обходить стандартные механизмы обнаружения и анализа.

Ключевые находки исследования

• Более 80% вредоносных LNK-файлов используют cmd.exe или PowerShell для выполнения вредоносных команд.
• Обфускация команд — частая практика, позволяющая скрыть истинный функционал запускаемых скриптов.
• Необходим тщательный анализ целевых путей в свойствах файлов LNK, а также аргументов командной строки — именно по этим параметрам обычно можно выявить подозрительные или необычные записи.
• Особое внимание аналитиков должно быть уделено интерпретаторам, таким как mshta.exe, которые вместе с PowerShell могут использоваться для удалённого выполнения кода.

Выводы и рекомендации

Вредоносные LNK-файлы представляют собой сложный и многогранный механизм атак, который успешно обходят многие традиционные меры защиты. Повышение числа подобных угроз требует от специалистов по кибербезопасности:

• Регулярно обновлять системы и исправлять известные уязвимости, включая CVE-2010-2568.
• Проводить глубокий анализ всех подозрительных LNK-файлов, обращая особое внимание на свойства, целевые пути и командные аргументы.
• Использовать современные средства обнаружения, способные выявлять обфусцированный и наложенный вредоносный контент.
• Обучать пользователей распознаванию потенциальных угроз, исходящих от ярлыков и других внешних файлов.

_Тщательное изучение LNK-файлов и повышение осведомлённости — ключевые меры борьбы с данной угрозой_, — резюмируют эксперты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.