Теперь кампании лучше обходят средства обнаружения и маскируются под популярные программы
Киберпреступники выпустили новый инструмент MLNK Builder 4.2 для генерации вредоносных LNK-ярлыков с улучшенным Powershell и VBS Obfuscator. ИБ-компания Resecurity обнаружила обновление популярного инструмента для создания вредоносных LNK-файлов, которые используются для доставки вредоносной полезной нагрузки.
Новая версия MLNK Builder 4.2 появилась в Dark Web с обновленным набором функций, ориентированным на обход антивируса и маскировку с помощью значков популярных легитимных приложений и форматов файлов.
«Почему злоумышленники используют LNK-файл? Такие файлы обычно выглядят подлинными и могут иметь значок, такой же, как у существующего приложения или документа. Злоумышленники включают вредоносный код в LNK-файлы (например, PowerShell-сценарий ), что позволяет выполнять полезную нагрузку на целевой машине», — говорится в сообщении Resecurity.
По словам экспертов Resecurity, существующие клиенты MLNK Builder получат обновление бесплатно, но авторы также выпустили версию «Private Edition» для узкого круга проверенных клиентов, а также дополнительную лицензию по цене $125 за сборку.
Обновленный инструмент предоставляет богатый арсенал для создания вредоносных файлов, выглядящих как законные файлы Microsoft Word, Adobe PDF, ZIP-архивы, JPG/PNG-изображения, MP3-аудиофайлы и даже AVI-видеофайлы, а также более продвинутые функции для сокрытия вредоносной полезной нагрузки.
Злоумышленники продолжают разрабатывать надежные способы обхода средств обнаружения и доставки вредоносной полезной нагрузки с помощью комбинации расширений и различных форматов файлов, а также бинарных файлов Living Off the Land (LolBins) .
Ранее исследователи из Cyble обнаружили новый инструмент для создания вредоносных LNK-файлов под названием Quantum , который имеет графический интерфейс и предлагает удобное создание файлов с помощью большого набора опций и параметров.
Сбалансированная диета для серого вещества