Microsoft waarschuwt gebruikers voor een aanvalscampagne waarbij lnk-bestanden worden gebruikt om een backdoor op systemen te installeren. De aanval begint met een e-mail die naar een malafide url met documenten, certificaten of bestellingen lijkt te wijzen.
Zodra de gebruiker op de link klikt krijgt die een zip-bestand aangeboden. Dit zip-bestand bevat het kwaadaardige lnk-bestand genaamd certidao.htm.lnk. Lnk-bestanden worden vaak als snelkoppeling op het bureaublad gebruikt, maar kunnen ook scripts aanroepen die vervolgens malware op het systeem installeren. In het geval van de aanval waarvoor Microsoft waarschuwt maken de aanvallers ook nog eens gebruik van een dubbele extensie. Windows laat standaard extensies niet zien, waardoor slachtoffers kunnen denken dat het om een htm-bestand gaat.
Het openen van het lnk-bestand zorgt ervoor dat de Astaroth-backdoor wordt geïnstalleerd. Deze backdoor is ontwikkeld voor het stelen van gevoelige informatie van systemen, zoals wachtwoorden, toetsaanslagen en andere data, die vervolgens naar de aanvaller worden gestuurd. Met deze gestolen data kan de aanvaller zich lateraal door het netwerk van de aangevallen organisatie bewegen, financiële fraude plegen of gegevens van het slachtoffer aan andere criminelen verkopen, aldus Microsoft, dat de malware detecteert.
Deze posting is gelocked. Reageren is niet meer mogelijk.