This post is also available in:
English (אנגלית)
גל תקיפות חדש מטרגט משתמשי Windows באמצעות קבצי קיצור דרך (.lnk) מתעתעים, שמטרתם להפיץ בקדור בשם REMCOSצותוכנות זדוניות נוספות, כך לפי חוקרים מצוות המודיעין של Point Wild, LAT61. קבצים אלו, המוסווים כמסמכים או תיקיות תמימות, מפעילים פקודות בשקט בעת פתיחתם ומעניקים לתוקפים גישה מרחוק למערכות הנגועות.
הקמפיין הנוכחי מחיה טכניקת תקיפה ותיקה: החדרת הוראות זדוניות לתוך קבצי קיצור דרך של Windows. קבצים אלו משמשים לרוב לגישה מהירה ליישומים או קבצים, אך תוקפים משנים אותם כך שיפעילו פקודות נסתרות באמצעות כלים לגיטימיים של מערכת ההפעלה כמו PowerShell, cmd או rundll32.exe. מכיוון ש-Windows מסתירה סיומות קבצים מוכרות כברירת מחדל, קובץ בשם Invoice.pdf.lnk עלול להיראות כ-Invoice.pdf בלבד – מה שמגביר את הסבירות שמשתמש יפתח אותו.
לאחר ההפעלה, הקובץ יכול להוריד ולהפעיל את REMCOS – כלי שליטה מרחוק מוכר שמסוגל לתעד הקשות מקלדת, להקליט ממצלמות ומיקרופונים, לצלם צילומי מסך ולהוציא קבצים מהמחשב. התוכנה יכולה גם להגדיל הרשאות משתמש, להריץ קוד ולספק שליטה מלאה על המערכת המותקפת.
הטכניקה הזו קשה במיוחד לזיהוי, מכיוון שקבצי .lnk אינם מציגים אזהרות אבטחה – בניגוד למסמכי Office זדוניים המשתמשים במאקרו. הפקודות המוטמעות בקבצים עשויות להיות מוסתרות ומורכבות במיוחד, ולעיתים מנצלות כלים אמינים של Windows כדי לטעון את התוכנה הזדונית ישירות על הזיכרון — ללא השארת עקבות על הדיסק.
החוקרים מציינים כי הודעות פישינג הן עדיין אמצעי ההפצה הנפוץ ביותר. קבצי .lnk זדוניים מוסתרים לעיתים קרובות בתוך קבצי ZIP או RAR, כשהם מוסווים כהצעות מחיר, חשבוניות או מסמכים עסקיים נפוצים אחרים. נמצאו גם דוגמאות להפצתם באתרי אינטרנט פרוצים, בתוך תוכנות פיראטיות, ואף בכוננים משותפים ברשת, כדי להדביק משתמשים נוספים.
הניתוח של Point Wild עקב אחר פעילות שהובילה לתשתיות ברומניה ובארצות הברית. כתובת IP אחת, הקשורה לספק אינטרנט רומני, הובילה לדומיין שמתחזה לשירות שילוח. כתובת IP אחרת מארה"ב קושרה לדומיין נוסף ששימש בקמפיין.
מומחי אבטחה ממליצים לנהוג בזהירות מיוחדת עם קבצי .lnk שמגיעים בדוא"ל או מהורדות ממקורות לא מהימנים. אפילו בדיקה ויזואלית של מאפייני הקובץ לא תמיד תחשוף את ההתנהגות הזדונית, כיוון שהתוקפים נוהגים להסתיר פקודות מורכבות.
שמירה על ערנות מתמשכת היא אמצעי ההגנה החשוב ביותר כאן, שכן סוגי התקפות מבוססות קבצים אלו ממשיכים להתפתח ולהתרחב הן בתחכום והן בהיקף.
