Согласно новому отчёту CiscoTalos, киберпреступники все чаще используют вредоносные LNK-файлы в качестве метода начального доступа для доставки и выполнения полезных нагрузок Bumblebee, IcedID и Qakbot.
Изучая метаданных артефактов, аналитики определили сходства между этими вредоносными программами. Они обнаружили, что несколько образцов LNK-файлов, доставляющих IcedID, Qakbot и Bumblebee, имеют один и тот же серийный номер диска.
По словам исследователей безопасности, рост использования LNK-файлов в цепочках атак подразумевает, что злоумышленники начали разрабатывать и использовать инструменты для создания таких файлов, такие как mLNK Builder и Quantum Builder, которые позволяют создавать вредоносные LNK-ярлыки и обходить решения безопасности.
Использование LNK-файлов различными семействами вредоносных программ
Специалисты заявили, что заметный всплеск кампаний с использованием вредоносных ярлыков рассматривается как ответ на решение Microsoft отключить макросы по умолчанию в документах Office, загруженных из Интернета, что побуждает злоумышленников использовать альтернативные типы вложений и механизмы доставки для распространения вредоносного ПО.