【奇安信情报沙箱】警惕伪装为文档的恶意快捷方式(LNK)文件

主要观点总结

本文介绍了通过LNK文件投递恶意软件的方式，奇安信情报沙箱对恶意样本的分析结果，包括样本基本信息、威胁情报AI助手的总结内容、行为异常、主机行为和网络行为等。最后提到了设备的IOCs信息。

关键观点总结

关键观点1: LNK文件成为恶意软件投放的常见媒介

攻击者可以通过LNK文件伪装成文档、图片等无害文件，兼具执行代码的能力，外观具有“可塑”性。

关键观点2: 恶意软件样本分析

奇安信情报沙箱对恶意软件样本进行了详细分析，包括样本基本信息、行为异常、主机行为和网络行为等。样本通过创建计划任务实现持久化，向远程服务器发送POST请求，访问浏览器保存的个人数据，窃取设备上的多种数据。

关键观点3: IOCs信息

提供了恶意软件的MD5值、C2服务器IP、URL、域名等IOCs信息。提醒用户注意防范钓鱼攻击，不点击执行未知来源的邮件附件，及时备份重要文件，更新安装补丁。

文章预览

概述 近年来，随着微软对 Office 文档中执行代码等各类限制的收紧，以宏代码、已知漏洞利用等方式发起攻击的文档类恶意软件攻击能力被削弱。面对这种情况，攻击者也转变思路，不同 APT 组织和网络犯罪团伙开始频繁借助快捷方式（LNK）文件投递恶意软件。 通过给 LNK 文件添加合适的文件名和图标，攻击者就能将其伪装为 Word、PDF 等文档，诱使受害者点击。与在文档中启用宏代码不同，点击 LNK 文件之前不会出现安全风险提示，并且打开 LNK 文件后往往有正常的诱饵文档展示在受害者面前，进一步降低受害者的警惕心。 奇安信威胁情报中心以近期日常运营过程中发现的一个样本为例，展示恶意 LNK 文件会如何导致受害者设备沦陷并被窃取数据。该样本为 ZIP 压缩包，其中包含一个 LNK 文件，ZIP 包可能是通过钓鱼邮件等方式传播的，LNK 文件名伪装 ………………………………