Il mondo della cybersecurity è sempre più complesso e minacciato da nuove strategie di attacco. Uno dei modi più efficaci utilizzati dai hacker per infiltrarsi nei sistemi informatici è attraverso i file LNK maliziosi. In questo articolo, esploreremo il pericolo rappresentato dall’UAC-0185, un gruppo di hacker che utilizza questi file per attacchi di phishing e malware, e forniremo suggerimenti e consigli per proteggerti da questi attacchi.
UAC-0185: Chi sono?
L’UAC-0185, noto anche come UNC4221, è un gruppo di hacker che ha attivato le sue operazioni sin dal 2022. Questo gruppo è stato identificato come responsabile di una serie di attacchi di phishing mirati contro le organizzazioni ucraine, in particolare quelle del settore difesa e industriale.
Come funzionano gli attacchi di phishing con i file LNK?
Gli attacchi di phishing eseguiti dall’UAC-0185 utilizzano email che sembrano provenire da fonti autorevoli, come l’Unione degli Imprenditori Ucraini (UESP). Queste email contengono un link che, quando cliccato, scarica un file LNK sul computer del destinatario. Il file LNK, apparentemente innocuo, contiene un comando che esegue un’applicazione HTML (HTA) tramite l’utilizzo di PowerShell.
Il processo di attacco dettagliato
- Email di phishing: L’attaccante invia un’email con un soggetto che sembra importante e pertinente, come “for your attention_changes_02-1-437 dated December 4, 2024.” L’email contiene un link che invita il destinatario a scaricare un file LNK.
- Download del file LNK: Quando il destinatario clicca sul link, il browser scarica un file LNK sul computer. Il nome del file potrebbe essere “letter_02-1-437.lnk.”
- Esecuzione del file LNK: Aprire il file LNK attiva l’esecuzione di un’applicazione HTA tramite l’utilizzo di mshta.exe.
- Esecuzione dell’HTA: L’HTA contiene codice JavaScript che esegue due comandi PowerShell.
- Il primo comando scarica e apre un file decoy che sembra essere una lettera ufficiale.
- Il secondo comando scarica un file ZIP che contiene tre componenti maliziosi: “Main.bat,” “Registry.hta,” e “update.exe.”
- Esecuzione del batch script: Il file ZIP viene estratto in una directory specifica e il batch script (“Main.bat”) viene eseguito. Questo script sposta il file “Registry.hta” nella cartella di avvio del sistema, assicurando la persistenza dell’infezione anche dopo il riavvio del sistema. Successivamente, il batch script esegue il file “Registry.hta,” che elimina alcuni file scaricati per minimizzare gli artefatti forensici e infine esegue l’eseguibile “update.exe,” identificato come il trojan di accesso remoto MESHAGENT.
Consigli per proteggerti dagli attacchi di phishing con i file LNK
- Sorveglianza delle email: Verifica sempre l’origine delle email e non cliccare su link sconosciuti.
- Scansione dei file: Utilizza un antivirus che possa rilevare i file LNK maliziosi e bloccarne l’esecuzione.
- Configurazione del browser: Imposta il browser per non scaricare automaticamente i file LNK.
- Educazione degli utenti: Informati gli utenti sul pericolo dei file LNK e sulle strategie di attacco utilizzate dai hacker.
- Monitoraggio del sistema: Utilizza strumenti di monitoraggio del sistema per rilevare eventuali attività sospette.
Gli attacchi di phishing con i file LNK rappresentano una minaccia significativa per le organizzazioni e gli individui. L’UAC-0185 è un esempio di come questi attacchi possano essere eseguiti con grande efficacia. È fondamentale essere consapevoli dei metodi di attacco e prendere misure proattive per proteggere i sistemi informatici. Seguendo i consigli forniti in questo articolo, potrai ridurre il rischio di essere vittima di questi attacchi maliziosi.
