Исследователи из Cyble обратили внимание на новый инструмент, помогающий киберпреступникам создавать вредоносные файлы-ярлыки в формате .LNK. Далее эти ярлыки используются для доставки пейлоадов на начальных этапах кибератаки. Все уже давно знают, что LNK-файлы могут содержать вредоносный код, использующий для загрузки легитимные инструменты Windows (по-другому — LOLBins) вроде PowerShell или MSHTA. Ряд киберпреступников любит использовать ярлыки, особенно это касается фишинговых кампаний. Например, с помощью LNK-файлов распространялись в своё время Emotet, Bumblebee, Qbot и IcedID...

В Windows ссылки на программы, папки и другие файлы представлены в специальном формате расширения .LNK, который называется ярлыком в русифицированной версии операционной системы. Проще говоря, на рабочем столе размещается не сам исполняемый файл, а ссылка на него. По тому же принципу отображается список программ в меню Пуск, где все ярлыки приложений размещены в пользовательской или системной папке Start Menu. В системной папке находятся также закрепленные ярлыки программ на Панели задач. Ярлык не...