MLNK Builder 4.2 在暗網中發布——基于快捷方式的惡意攻擊呈上升趨勢

網絡犯罪分子發布了一個新的 MLNK Builder 4.2 工具，用于生成惡意快捷方式 (LNK)，其中包含改進的 Powershell 和 VBS 混淆器

Resecurity, Inc.（美國）是一家總部位于洛杉磯的網絡安全公司，致力于保護全球財富 500 強企業，它檢測到 網絡犯罪分子用來生成惡意 LNK 文件的最流行工具之一的更新，該工具如今經常用于惡意負載交付。

MLNK Builder 出現在Dark Web中，新版本 (4.2) 和更新的功能集專注于 AV 規避和偽裝流行的合法應用程序和文件格式的圖標。

“為什么攻擊者使用 LNK 文件？此類文件通常看起來合法，并且可能具有與現有應用程序或文檔相同的圖標。不良行為者將惡意代碼合并到 LNK 文件中（例如 Powershell 場景），從而允許在目標機器上執行有效負載。” 閱讀Resecurity發布的帖子。

今年 4 月至 5 月期間，檢測到由 APT 組織和高級網絡犯罪分子發起的涉及惡意快捷方式（LNK 文件）的顯著活動激增——Bumblebee Loader 和UAC-0010（世界末日）針對CERT UA描述的歐盟國家。惡意快捷方式繼續給網絡防御者帶來困難，特別是在打擊全球僵尸網絡和勒索軟件活動時，將它們用作多階段有效負載交付的渠道。

“我們觀察到一個通過目標網站上的聯系表格傳遞 Bumblebee 的活動。這些消息聲稱該網站使用了被盜圖像，并包含一個鏈接，該鏈接最終傳遞了一個包含惡意軟件的 ISO 文件。” 繼續發帖。“Resecurity 將此活動歸因于該公司追蹤的另一個威脅行為者 TA578，自 2020 年 5 月以來一直在這樣做。TA578 使用電子郵件活動來傳播 Ursnif、IcedID、KPOT Stealer、Buer Loader 和 BazaLoader 以及 Cobalt Strike 等惡意軟件。”

據來自 Resecurity 的專家稱，MLNK Builder 的現有客戶將免費獲得更新，但作者還發布了一個“私人版”，可供經過審查的客戶的緊密圈子使用，或者每次構建 125 美元的額外許可。

更新后的工具提供了豐富的武器庫，可以生成看起來像合法的 Microsoft Word、Adobe PDF、ZIP 檔案、圖像 .JPG/.PNG、音頻 MP3 甚至視頻 .AVI 文件的惡意文件。以及用于混淆惡意負載的更高級功能。

不良行為者繼續開發更具創造性的方法來欺騙檢測機制和傳遞惡意負載——通過利用擴展和不同文件格式的組合，以及離地二進制文件 (LOLbins)。

據 Resecurity 稱，利用基于 LNK 的分發最活躍的惡意軟件系列是 TA570 Qakbot（又名Qbot）、IcedID、AsyncRAT和新的Emotet菌株。最近的 Qakbot 分發活動還包括使用 Microsoft 支持診斷工具 (MSDT) 中的CVE-2022-30190 (Follina) 零日漏洞的惡意 Word 文檔。

作者： 皮耶路易吉·帕格尼尼