Cisco Talos: LNK-ярлыки стали чаще использоваться для заражения жертв

Согласно новому отчёту CiscoTalos, киберпреступники все чаще используют вредоносные LNK-файлы в качестве метода начального доступа для доставки и выполнения полезных нагрузок Bumblebee , IcedID и Qakbot .

Изучая метаданных артефактов, аналитики определили сходства между этими вредоносными программами. Они обнаружили, что несколько образцов LNK-файлов, доставляющих IcedID, Qakbot и Bumblebee, имеют один и тот же серийный номер диска.

По словам исследователей безопасности, рост использования LNK-файлов в цепочках атак подразумевает, что злоумышленники начали разрабатывать и использовать инструменты для создания таких файлов, такие как mLNK Builder и Quantum Builder , которые позволяют создавать вредоносные LNK-ярлыки и обходить решения безопасности.

Использование LNK-файлов различными семействами вредоносных программ

Специалисты заявили, что заметный всплеск кампаний с использованием вредоносных ярлыков рассматривается как ответ на решение Microsoft отключить макросы по умолчанию в документах Office, загруженных из Интернета, что побуждает злоумышленников использовать альтернативные типы вложений и механизмы доставки для распространения вредоносного ПО.