Cyber attacchi tramite file LNK

lnk file malwareLa lotta ai crimini informatici non conosce tregua ed essere informati sugli escamotage utilizzati dai cyber criminali è di fondamentale importanza.

In questo articolo parleremo del file .LNK e di come venga utilizzato per effettuare il download di malware.

 

L’estensione .lnk è un file di sistema Windows associato al formato binario Shell Link.  Il file è di piccole dimensioni ed è utilizzato per puntare ad un altro file o directory del filesystem. Questi file memorizzano determinati metadata che fanno riferimento esclusivamente alle risorse del filesystem.

Grazie a questi file è possibile eseguire script PowerShell (i.e. linguaggio di scripting progettato per l’amministrazione di sistema). Lo script, a sua volta, effettua il download di malware o altri file malevoli infettando così il sistema.  La seguente immagine mostra la crescita esponenziale del trend relativo all’uso dei file.lnk per installare malware.

LNK

 

 

 

Strategia LNK

Il tutto ha inizio con l’invio di una mail di phishing nella quale viene richiesto all’utente di aprire un determinato allegato.  Visto che Windows nasconde le estensioni dei file registrati di default, quello che a prima vista può sembrare un file legittimo in effetti è un file .lnk (nomefile.txt.lnk oppure immagine.jpg.lnk, ecc).  Lo script PowerShell, una volta avviato, scaricherà il malware.

 

 

 

Come tutelarsi

  • Effettuare l’upgrade di PowerShell alla versione 5.
  • La maggior parte dei file .EXE sono riconosciuti e rifiutati automaticamente dai server di posta. Consigliamo di aggiungere un filtro anche per i file .LNK
  • Se riconosciuto, non aprire mai un file .LNK ricevuto per posta.

 

 

 

Come identificare un file .lnk

  1. Se il file è situato all’interno di un archivio (i.e. WinRAR, WinZip) l’estensione è chiaramente visibile.
  2. All’interno dei folder Windows, per rendere visibile l’estensione .lnk, occorre modificare il registro di sistema
  3. Se il file LNK si trova all’interno di un documento Word allora occorre semplicemente applicare il buon senso e non aprire file di dubbia provenienza. Verificare sempre la fonte.
Condividi

You may also like