Kyberkriminálníci častěji zneužívají .lnk soubory při phishingových útocích

.lnk soubory reprezentují zástupce ve Windows, stále častěji je však útočníci využívají k distribuci malware pomocí příloh e-mailů. Na blogu společnosti Trustwave o tom informoval výzkumník Phil Hay. Jak říká - tyto praktiky určitě nejsou ničím novým, v poslední době však jejich výskyt narůstá. V zápisku popisuje konkrétní případ, na který narazil.

E-mail v příloze, alespoň zdánlivě, obsahoval soubory formátů .pdf a .zip a byl z poměrně důvěryhodného zdroje. Nabádal samozřejmě k otevření příloh. To, co vypadalo jako .pdf soubor byla však spustitelná aplikace, .zip archív obsahoval kolekci .lnk souborů. Všechny .lnk soubory byly identické a na první pohled analytik nechápal jejich smysl. Když se však podíval do vlastností, každý měl v poli cíl kód, který spustí program cmd.exe a po spuštění statement.pdf (druhá příloha) ho zase okamžitě ukončí (díky přepínači /c).

Zde přichází ona zmíněná výhoda použití .lnk souborů. Soubor statement.pdf je spustitelný, má pouze přepsanou příponu. Když na něj oběť klikne rovnou v mailu, nic se nestane. Pravděpodobně pak zkusí rozbalit .zip, který obsahuje soubory „statement part 1“ až 6. To jsou právě zmíněné .lnk soubory, jejichž finální přípona je však skryta (jako třeba u vás na ploše). Ty již správně vykonají .pdf soubor jako spustitelný a útočník má další zářez. Jak je to možné? Je to totiž vlastnost příkazového řádku Windows. Jak vypadá takový útočníkův zářez se můžete podívat na webu virustotal. Další podobné útoky byly popsány také společnostmi TrendMicro či Symantec.

Tyto útoky jsou tedy nebezpečné hlavně proto, že díky absenci spustitelných souborů projdou e-mailovými filtry a následně se lidé nebojí tento e-mail „zkoumat“, když obsahuje jen „neškodné pdfko“.