Невидимые команды в ярлыках Windows крадут данные с 2017 года
Проблема безопасности игнорируется, несмотря на угрозу для миллионов устройств.
Неисправленная уязвимость в Microsoft Windows, отслеживаемая как ZDI-CAN-25373, активно используется 11 группировками, спонсируемыми государствами, включая Китай, Иран и Северную Корею. Уязвимость применяется для кибер шпионажа , кражи данных и финансово мотивированных атак, ведущихся с 2017 года.
Согласно исследованию Trend Micro Zero Day Initiative (ZDI), проблема связана с обработкой файлов Windows Shortcut (.LNK), позволяя злоумышленникам скрыто выполнять вредоносные команды на целевой машине. Основной метод обхода защиты — использование скрытых аргументов командной строки с символами Line Feed (\x0A) и Carriage Return (\x0D).
На данный момент обнаружено около 1000 вредоносных файлов .LNK, связанных с различными группами APT , включая Evil Corp (Water Asena), Kimsuky (Earth Kumiho), Konni (Earth Imp), Bitter (Earth Anansi) и ScarCruft (Earth Manticore). Половина из этих атакующих группировок связана с Северной Кореей, что указывает на координацию действий внутри киберармии КНДР.
Атаки направлены против правительств, финансовых организаций, телекоммуникационных компаний, аналитических центров и военных структур в США, Канаде, России, Южной Корее, Вьетнаме и Бразилии. Среди используемых вредоносных программ выявлены Lumma Stealer, GuLoader, Remcos RAT, а также распространение Raspberry Robin, связанное с Evil Corp.
Несмотря на высокие риски, Microsoft оценивает уязвимость как низкую по степени критичности и не планирует выпуск исправления. Эксперты предупреждают, что отсутствие патча оставляет организации уязвимыми перед атаками, скрывающими критически важную информацию от пользователей.