Cibercriminosos usam atalhos do Windows para baixar malware no PC

Os atalhos do Windows são a nova arma das quadrilhas de cibercriminosos para contaminar PCs corporativos e de usuários finais com a botnet Emotet. Os arquivos no formato LNK chegam por e-mail, disfarçados de mensagens empresariais fraudulentas com documentos, cobranças ou notas fiscais, e contém comandos que permitem o download das pragas a partir de sites controlados pelos bandidos.

• Brasil é o segundo país mais atacado por novo ransomware
• 5 dicas para empresas se protegerem de vazamentos de dados

De acordo com os pesquisadores da ESET, que divulgaram alerta sobre o novo método, esta é uma resposta dos cibercriminosos às barreiras colocadas pela Microsoft no uso de macros, que até aqui eram o vetor preferencial do Emotet em ataques corporativos. Os atalhos, quando executados diretamente, escondem comandos PowerShell que baixam e executam scripts no computador, realizando a instalação do malware que serve como porta de entrada para novos comprometimentos.

A tática escapa de verificações usuais de segurança e, também, de análises manuais, já que o destino do atalho não inclui os códigos maliciosos diretamente. Eles aparecem após dezenas de espaços em branco, exigindo que o usuário dê uma olhada direta no caminho do arquivo para localizar o indício de que há algo de errado com aquele atalho.

O arquivo LNK, claro, não leva a lugar algum nem contém arquivos efetivamente maliciosos. Quando o usuário vê o erro na tela, porém, já é tarde, com as ações maliciosas acontecendo em segundo plano a partir de diferentes URLs maliciosas, com a botnet sendo baixada para pastas de arquivos temporários e gerando alterações no registro do Windows para estabelecer permanência no computador.

De acordo com os dados da ESET, já é possível perceber uma redução considerável no uso de macros e um aumento significativo nesse novo método. Países como México, Itália, Japão, Turquia e Canadá parecem ser os mais atingidos pela tática, que teve indicadores de comprometimento e também os sites usados para o download da botnet divulgados, para que possam ser bloqueados por administradores de segurança.

Ainda, o novo formato também segue uma série de mudanças nas contaminações pelo Emotet, que se mantém como uma das pragas mais populares da atualidade. Alterações no código, disseminações em ampla escala e, agora, o uso de atalhos do Windows são ferramentas da botnet, que pode abrir as portas para ataques mais graves pelas mãos de quadrilhas de ransomware e roubo de dados, por exemplo.

Fonte: ESET (Twitter), Bleeping Computer