MITRE ATT&CK T1027.012 - Обфусцированные файлы или данные: LNK Icon Smuggling

LNK-файлы обычно используются для представления ярлыков исполняемых программ или документов на рабочем столе компьютера или в каталогах файлов.

Обфусцированные файлы или данные: LNK Icon Smuggling

LNK Icon Smuggling - это техника злоумышленников, используемая для маскировки вредоносных файлов путем манипулирования иконками, связанными с файлами ярлыков (LNK). Изменяя значок, связанный с файлом LNK, атакующие могут создать вводящее в заблуждение визуальное представление, скрывающее истинную природу связанного исполняемого файла.

Злоумышленники манипулируют значком, отображаемым в файле быстрого доступа, чтобы обмануть пользователей и заставить их думать, что он ведет к легитимному приложению или документу. Этот метод направлен на то, чтобы обмануть пользователей и заставить их нажать на безобидный ярлык, но он может привести к выполнению вредоносного кода в целевой системе.

Злоумышленники используют технику LNK Icon Smuggling, изменяя поле метаданных IconEnvironmentDataBlock в файлах ярлыков Windows. В этом поле указывается путь к файлу значка, который будет отображаться для LNK-файла. Например, злоумышленники могут создать LNK-файл, указывающий на полезную нагрузку PowerShell с иконкой файла PDF.

Кроме того, злоумышленники использовали LNK-файлы для создания видимости легитимных файлов при загрузке вредоносного ПО в фоновом режиме. В июне 2023 года злоумышленники использовали технику LNK Icon Smuggling для распространения кейлоггера Win32.Trojan.Pantera. Когда ничего не подозревающий пользователь нажимает на вредоносный LNK-файл, тот загружает два файла: PDF-файл и VBS-скрипт. Файл PDF является легитимным файлом и открывается автоматически после загрузки. Однако VBS-скрипт - это вредоносный файл, который в фоновом режиме незаметно развертывает кейлоггер.