哦，惡意的 Windows 快捷方式正在迴歸

最近觀察到至少有兩個威脅行為者分發惡意 Windows 快捷方式檔案，旨在用惡意軟體感染受害者。

上週晚些時候，來自 Varonis 的網路安全研究人員報告說，看到可怕的 Emotet 威脅演員以及鮮為人知的金雞集團 （AKA Venom Spider） 透過電子郵件分發 。ZIP 檔案，並在這些檔案中分發 。LNK 檔案。

使用 Windows 快捷方式檔案部署惡意軟體或勒索軟體（在新標籤中開啟）在目標端點上（在新標籤中開啟）並不完全新穎，但這些威脅參與者給這個想法帶來了全新的旋轉。

冒充 PDF 檔案的快捷方式

大多數年長的讀者可能在過去至少有一次對自定義他們的遊戲桌面快捷方式感到內疚。

在這個特定的活動中，威脅參與者將原始快捷方式圖示替換為 。PDF 檔案的圖示，這樣毫無戒心的受害者一旦收到電子郵件附件，就無法透過基本的視覺檢查發現差異。

但危險是真實存在的。Windows 快捷方式檔案可用於將幾乎所有惡意軟體投放到目標端點，在這種情況下，Emotet 有效負載被下載到受害者的 %TEMP% 目錄中。如果成功，Emotet 有效負載將使用“regsvr32。exe”載入到記憶體中，而原始 dropper 將從 %TEMP% 目錄中刪除。

研究人員表示，防範這些攻擊的最佳方法是徹底檢查每一個傳入的電子郵件附件，並隔離和阻止任何可疑內容（包括帶有 Windows 快捷方式的 ZIP 壓縮檔案）。

管理員還應限制 %TEMP% 目錄中意外二進位制檔案和指令碼的執行，並限制使用者對 PowerShell 和 VBScript 等 Windows 指令碼引擎的訪問。他們還應該強制要求透過組策略對指令碼進行簽名。