RedEyes: Zloupotreba LNK datoteka
AhnLab Security Emergency Response Center (ASEC) je izdao upozorenje vezano za zlonamjerni softver koji je ranije bio distribuiran u CHM formatu, sada distribuira u LNK formatu. Ovaj zlonamjerni softver izvršava dodatne skripte koje se nalaze na određenoj URL adresi kroz mshta proces. Zatim prima komande od servera zlonamjernog aktera da izvrši dodatna zlonamjerna ponašanja.
RedEyes: Zloupotreba LNK datoteka; Source: Bing Image Creator
Zlonamjerni softver RedEyes
Ova pratnje, poznata kao RedEyes (ScarCruft), prešla je sa CHM formata na LNK format, postavljajući nove izazove za stručnjake sajber bezbjednosti. Zlonamjerni akter vrši distribuciju LNK datoteke na običnoj Internet lokaciji tako što je šalje zajedno sa zlonamjernim softverom u arhivirajnoj datoteci u kojoj se nalaze Excel dokument i skrivene BAT i PowerShell skripte.
Analizom je utvrđeno da PowerShell skripta ima širok spektar funkcionalnosti, uključujući prikupljanje informacija o računaru, upravljanje disk jedinicama, praćenje sadržaja međuspremnika, praćenje pokrenutih procesa, rukovanje datotekama, izvršavanje komandi, preuzimanje/otpremanje datoteka, uređivanje registra i još mnogo toga. Sumnja se da napadač kontinuirano mijenja kôd skripte, pošto se navedene komande razlikuju u uzorcima. Dakle, pored do sada potvrđenih funkcionalnosti, mogu se obavljati i razne druge zlonamjerne aktivnosti.
Zaštita
Uzimajući u obzir nedavne masovne distribucije zlonamjernog softvera koji koristi CHM i LNK datoteke, korisnici moraju da budu posebno oprezni. U slučaju zlonamjernih LNK datoteka, primijećeno je da značajan broj njih ima veličinu datoteke veću od 10 MB. Stoga, korisnici moraju da se uzdrže od izvršavanja velikih LNK datoteka iz nepoznatih izvora.
Pored toga korisnici bi trebalo i da budu pažljivi dok pretražuju Internet, jer lažni i zlonamjerni sadržaji na Internetu obično izgledaju autentični i bezopasni. Potrebno je biti oprezna sa dolaznom elektronskom poštom i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatnoće da će pokrenuti proces infekcije uređaja. Preporuka je da se sva preuzimanja dokumenata ili aplikacija obavljaju sa zvaničnih i provjerenih kanala.
Takođe, redovno ažuriranje operativnog sistema i aplikacija, kao i korištenje provjerenih antivirusnih sigurnosnih rješenja imaju značajnu ulogu u zaštiti korisnika i organizacija od ovakvih prijetnji.
