Un fichier LNK est un raccourci Windows qui sert de pointeur pour ouvrir un fichier, un dossier ou une application.
Lorsque vous créez une icône raccourci, cela créé un fichier LNK qui stocke les données pour accéder à l’objet de données.
Depuis quelques mois, les LNK Malware refont surface et deviennent de plus en plus utilisés dans les campagnes pour infecter les internautes.
Dans ce tutoriel, je vous explique ce que sont les LNK Malware, comment ça marche. Je vous donne quelques exemples d’utilisations des LNK Malware et enfin comment vous en protéger.
Table des matières
Qu’est-ce qu’un LNK Malware
Depuis 2011 jusqu’à encore récemment, les campagnes de virus malveillant utilisaient les macros Office pour installer des malwares.
J’en parlais dans cet article : Les virus par Word et Excel (documents Office).
Microsoft a décidé de désactiver par défaut les macros Office, rendant, ce type d’attaque moins efficaces.
Pour continuer de propager les malwares, les auteurs de malwares se tournent vers des campagnes utilisant les fichiers LNK.
Les auteurs de menaces utilisent des spams et des URL malveillantes pour transmettre des fichiers LNK aux victimes. Ces fichiers demandent à des applications légitimes comme PowerShell, CMD, un script VBS, JS ou MSHTA de télécharger des fichiers malveillants.
Le fonctionnement et procédé n’a rien de nouveaux mais redevient à la mode pour devenir le standard.
En 2016, je parlais des logiciels malveillants dit Fileless (sans fichier). Plus bas une mise à jour de 2017 pour parler des LNK : Malware ‘FileLess’ : PoweLiks, Kovter, Gootkit
Les LNK Malware comment ça marche
Le schéma global est toujours le même, le fichier LNK est utilisé comme source pour télécharger et exécuter un malware sur le PC de la victime.
Simplement, on peut avoir des étapes intermédiaires dans la chaîne globale de l’infection.
Voici un exemple de chaîne d’infection détaillée.
La victime reçoit un mail avec un LNK malveillant. Ce dernier peut être dans un fichier ZIP ou dans un fichier DOCX. La victime double clic sur le LNK.
L’antivirus peut le détecter de manière générique en tant que LNK/Agent, LNK:Agent, LNK.Starter, LNK/Dropper ou LNK/Dldr.Agent et si cela cible une famille de malware : LNK/Emotet, LNK/Quakbot, etc
Le LNK exécute un script PowerShell, CMD ou MSHTA qui exécute à son tour directement le malware (Payload) ou exécute autre script qui sert de Trojan Downloader.
Par exemple, ci-dessous un script PowerShell exécute mshta.exe qui télécharge un malware depuis une URL distante.
Le Malware peut être un fichier EXE ou une DLL exécutée par regsvr.exe.
Voici un récapitulatif de la chaîne d’infection utilisant les LNK Malware.
Quelques exemples de LNK Malware
Pour commencer, vous trouverez un exemple rapide dans cet article : Virus Chronopost par mail : Trojan:Win32/Wacatac.B!ml et Trojan RAT
Exemple de campagne visant la France
Voici un autre exemple d’utilisation de Trojan LNK qui sert de point de départ pour infecter le PC de la victime.
Ici il s’agit de tromper l’utilisateur en faisant passer un fichier raccourci LNK en un fichier JPEG ou MP4.
Si l’utilisateur double-clic dessus, cela charge un fichier HTA qui exécute un script VBS malveillant pour dropper un fichier BAT sur le PC de la victime.
Au final, cela charge un script PowerShell malveillant.
Emotet
Cet exemple d’utilisation de fichier LNK malveillant par le malware Emotet se fait en quatre grande étapes :
- La victime ouvre un fichier LNK reçu par mail
- Ce dernier exécute une commande CMD pour lancer script VBS
- wscript.exe exécute le script VBS qui télécharge la DLL malveillante
- Ensuite, regsrv.exe exécute le fichier DLL Emotet
QuakBot
Voici un autre exemple avec le malware Quakbot :
- L’internaute ouvre un fichier LNK reçu dans un email
- Le LNK pointe vers Powershell avec en argument une URL distante pour télécharger et exécuter un fichier DLL dans %TEMP%
- Ce script PowerShell permet d’exécuter la charge utile principale de la DLL Qakbot à l’aide de l’utilitaire rundll32 ou regsrv.exe
IceDid
Enfin on termine de ce dernier exemple d’utilisation de LNK malveillant avec IceDid :
- La cible ouvre un fichier LNK malveillant reçu en pièce jointe d’un mail
- Ce dernier exécute PowerShell avec un paramètre offusqué
- Le paramètre PowerShell vise à faire exécuter MSHTA avec une URL distante. Cela permet de télécharger le fichier DLL de QuakBot
- regsrv32.exe exécute la DLL malveillante
Comment se protéger des LNK Malware
Voici quelques conseils pour se protéger des fichiers LNK.
Tout d’abord savoir que les fichier LNK sont des entrées à des menaces informatiques est important.
Comme d’habitude, il est recommandé de faire attention aux pièces jointes par mail et plus globalement n’ouvre que des fichiers depuis des sources sûres.
Ensuite deux conseils pour briser la chaîne des LNK Malware :
- Désactiver Windows Script Hosting et empêcher l’exécution des fichiers .hta, .js et .vbs
- Configurer le Pare-feu Windows pour bloquer les connexions provenant de wscript.exe, mshta.exe et powershell. J’en parle depuis longtemps dans ce tutoriel : Firewall Windows : les bon réglages
Enfin appliquer les recommandations de mon tutoriel :
Liens
- Les infections : Virus/Trojan
- Comment les Virus/Trojan sont distribués
- Comment désinfecter et supprimer les virus son PC
- Les Trojan RAT
- Désactiver Windows Script Host
- Comment se protéger des scripts malveillants sur Windows
- Sécuriser son ordinateur et connaître les menaces
- Ransomwares et Rançongiciels : Définition et comment s’en protéger