Código HTML do Conteúdo
Post: Malware LNK Aproveita os arquivos legítimos do Windows para deslizar as defesas passadas - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div>
<p>Em uma campanha recentemente observada emergindo de Israel, os atores de ameaças reviveram o uso de arquivos de atalho do Windows (.LNK) para fornecer um potente Trojan de acesso remoto (rato). </p>
<p>Esses arquivos de atalho aparentemente inócuos exploram os binários de Living-Off-the-Land (LOLBins), como ODBCCONF.EXE para registrar silenciosamente e executar DLLs maliciosos, fugir de ferramentas de segurança e complicando os esforços de detecção.</p>
<p>O ataque começa quando as vítimas são atraídas para baixar um arquivo chamado “cyber security.lnk” de um canal Discord. Ao clicar, o atalho abre um PDF de engodo intitulado “Cyber<strong> </strong>Security.pdf ”para distrair o usuário, enquanto uma sequência oculta do PowerShell é executada em segundo plano. </p>
<p>Para evitar qualquer janelas de console visível, o script inicia o Conhost.exe no modo sem cabeça, resolve dinamicamente o caminho para o PowerShell e o executa sem janela.</p>
<p><figure><figcaption>Execução inicial de comando.<br /></figcaption></figure>
</p>
<p>Em seguida, o script do PowerShell cria um diretório de trabalho em C: Usuários public Nuget e define várias variáveis:</p>
<ul>
<li>Moq.zip: o arquivo malicioso.</li>
<li>Cyber ​​Security.pdf: O chamariz.</li>
<li>Cyber ​​Security.lnk: O atalho malicioso.</li>
<li>$ Env: Temp e $ Env: Public: para estadiamento de arquivos.</li>
</ul>
<p>Os bytes LNK brutos são digitalizados para o cabeçalho do %PDF Magic, permitindo a extração do PDF incorporado. </p>
<p>O <a href="https://gbhackers.com/malicious-lnk-file-posing-as-credit-card/" rel="noreferrer noopener" target="_blank">Arquivo lnk</a> é excluído para cobrir as faixas e o arquivo zip é extraído na pasta Nuget. Após um breve atraso, emergem o moq.dll e as bibliotecas de suporte (Dapper.dll, newtonsoft.dll e um arquivo chamado Nunit), enquanto o zip é removido para manter furtividade.</p>
<h2 id="dll-execution-and-core-rat-functionality"><strong>Execução da DLL e rato central </strong></h2>
<p>Para ativar o rato sem acionar alarmes, o script abusa de odbcconf.exe, um binário legítimo do Windows, usando o comando:</p>
<pre>text<code>odbcconf.exe /a {regsvr "C:UsersPublicNugetmoq.dll"}
</code></pre>
<p>Isso registra e executa o MOQ.DLL como uma DLL, invocando sua exportação DLLRegisterServer. Em vez de incorporar toda a lógica da carga útil, o moq.dll carrega dinamicamente o Dapper.dll e o newtonsoft.dll, aumentando a complexidade para os engenheiros reversos.</p>
<p>Durante a análise dinâmica, o MOQ.DLL foi observado para:</p>
<ul>
<li>Carregue AMSI.dll e patch amsiscanBuffer para retornar sempre a falha, ignorando a interface de varredura anti-malware.</li>
<li>Patch etweventwrite em ntdll.dll para desativar o rastreamento de eventos do Windows, frustrando o registro de segurança.</li>
<li>Invoque a WideChartomultibyte para processar a carga útil da “Nunit”, que é decodificada e passada para a função NowyouNeMeeMe () da Dapper.dll.</li>
<li>Use o ClrcreateInstance para hospedar o .NET Runtime e executar o script PowerShell decodificado.</li>
</ul>
<p>O script PowerShell resultante, uma vez desusado, <a href="https://labs.k7computing.com/index.php/from-lnk-to-rat-deep-dive-into-the-lnk-malware-infection-chain/" rel="noreferrer noopener nofollow" target="_blank">revela</a> Os módulos criptografados da AES descriptografam em tempo de execução, armazenando o texto simples em uma variável para execução. Para segurança, os analistas redirecionaram essa saída para um arquivo em vez de executá -lo.</p>
<p>Após a execução, o malware garante a persistência modificando a chave do registro</p>
<pre>text<code>HKCUSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell
</code></pre>
<p>Para anexar seu comando de lançamento ao lado do Explorer.exe, garantindo a ativação no login.</p>
<p>O rato gera ou lê um identificador exclusivo de ID e máquina a partir de arquivos no diretório Temp antes de chegar a um URL C2 codificado (por exemplo, hotchichenfly.info). </p>
<p>Se o servidor primário não for alcançado, ele calcula um endereço de fallback com base no ID do bot e no nome de usuário. Os comandos do C2 são codificados e armazenados em arquivos temporários, depois decodificados e executados conforme necessário.</p>
<p>Os principais recursos de rato incluem:</p>
<ul>
<li>Métricas do sistema de coleta, como produtos antivírus, detalhes do sistema operacional, endereço IP e nome de usuário.</li>
<li>Captura de capturas de tela, codificando -as na base64 e exfiltrando -as a um servidor remoto.</li>
<li>Carregando arquivos arbitrários através do Dropbox <a href="https://gbhackers.com/top-fintech-api-security-plasse/" rel="noreferrer noopener" target="_blank">API </a>usando tokens roubados.</li>
<li>Digitando um loop perpétuo para buscar e executar novos comandos C2.</li>
</ul>
<p>Esse conjunto de recursos abrangente ressalta a versatilidade do rato como uma ferramenta de espionagem multifuncional.</p>
<h2 id="mitigation-and-recommendations"><strong>Mitigações</strong></h2>
<p>As equipes de segurança devem implementar as seguintes medidas defensivas:</p>
<ul>
<li>Bloqueie ou monitore de perto a execução de lolbins como Odbcconf.exe para parâmetros não padrão.</li>
<li>Aplicar a lista de permissões da aplicação para impedir os registros desconhecidos da DLL.</li>
<li>Habilite e proteja o registro AMSI e ETW para detectar tentativas de remendo na memória.</li>
<li>Eduque os usuários sobre os riscos de abrir atalhos e baixar arquivos de plataformas de bate -papo não confiáveis.</li>
</ul>
<p>Dada a sofisticação deste rato baseado em LNK e o uso de componentes legítimos do Windows, implantando uma solução de segurança respeitável-como a segurança total do K7-e garantir assinaturas, heurísticas e detecções comportamentais estão atualizadas é crucial para frustrar ataques futuros. Patching contínuo, separação estrita de privilégio e monitoramento vigilante de execuções anormais de processo permanecem essenciais para manter uma postura segura.</p>
<h2><strong>COI</strong></h2>
<figure>
<table>
<tbody>
<tr>
<td> <strong>Hash</strong></td>
<td> <strong>Nome da detecção</strong></td>
</tr>
<tr>
<td>7391C3D895246DBD5D26BF70F1D8CBAD</td>
<td>Trojan (0001140E1)</td>
</tr>
<tr>
<td>2956EC73EC77757271E612B81CA122C4</td>
<td>Trojan (0001140E1)</td>
</tr>
<tr>
<td>5A1D0E023F696D094D6F7B25F459391F</td>
<td> Trojan (0001140E1)</td>
</tr>
<tr>
<td>92FC7724688108D3AD841F3D2CE19DC7</td>
<td> Trojan (0001140E1)</td>
</tr>
</tbody>
</table>
</figure>
<p><strong>Siga -nos<a href="https://news.google.com/publications/CAAqKAgKIiJDQklTRXdnTWFnOEtEV2RpYUdGamEyVnljeTVqYjIwb0FBUAE?hl=en-IN&gl=IN&ceid=IN%3Aen" rel="noreferrer noopener" target="_blank">Google News</a>Assim,<a href="https://www.linkedin.com/company/cyber-threat-intel/" rel="noreferrer noopener" target="_blank">LinkedIn</a>e<a href="https://x.com/The_Cyber_News" rel="noreferrer noopener" target="_blank">X</a>Para obter atualizações instantâneas e definir GBH como uma fonte preferida em<a href="https://www.google.com/preferences/source?q=https://gbhackers.com/" rel="noreferrer noopener" target="_blank">Google</a>.</strong></p>
</div></div>