Menu Fermer

LNK Malware : ce qu’il faut savoir

Cette entrée fait partie d'une série de 11 sur 13 dans la série Virus et Trojan : le dossier COMPLET

Un fichier LNK est un raccourci Windows qui sert de pointeur pour ouvrir un fichier, un dossier ou une application.
Lorsque vous créez une icône raccourci, cela créé un fichier LNK qui stocke les données pour accéder à l’objet de données.

Depuis quelques mois, les LNK Malware refont surface et deviennent de plus en plus utilisés dans les campagnes pour infecter les internautes.
Dans ce tutoriel, je vous explique ce que sont les LNK Malware, comment ça marche. Je vous donne quelques exemples d’utilisations des LNK Malware et enfin comment vous en protéger.

LNK Malware : ce qu'il faut savoir

Qu’est-ce qu’un LNK Malware

Depuis 2011 jusqu’à encore récemment, les campagnes de virus malveillant utilisaient les macros Office pour installer des malwares.
J’en parlais dans cet article : Les virus par Word et Excel (documents Office).
Microsoft a décidé de désactiver par défaut les macros Office, rendant, ce type d’attaque moins efficaces.

Pour continuer de propager les malwares, les auteurs de malwares se tournent vers des campagnes utilisant les fichiers LNK.
Les auteurs de menaces utilisent des spams et des URL malveillantes pour transmettre des fichiers LNK aux victimes. Ces fichiers demandent à des applications légitimes comme PowerShell, CMD, un script VBS, JS ou MSHTA de télécharger des fichiers malveillants.

Le fonctionnement et procédé n’a rien de nouveaux mais redevient à la mode pour devenir le standard.
En 2016, je parlais des logiciels malveillants dit Fileless (sans fichier). Plus bas une mise à jour de 2017 pour parler des LNK : Malware ‘FileLess’ : PoweLiks, Kovter, Gootkit

Les LNK Malware comment ça marche

Le schéma global est toujours le même, le fichier LNK est utilisé comme source pour télécharger et exécuter un malware sur le PC de la victime.
Simplement, on peut avoir des étapes intermédiaires dans la chaîne globale de l’infection.

Les LNK Malware comment ça marche

Voici un exemple de chaîne d’infection détaillée.

La victime reçoit un mail avec un LNK malveillant. Ce dernier peut être dans un fichier ZIP ou dans un fichier DOCX. La victime double clic sur le LNK.
L’antivirus peut le détecter de manière générique en tant que LNK/Agent, LNK:Agent, LNK.Starter, LNK/Dropper ou LNK/Dldr.Agent et si cela cible une famille de malware : LNK/Emotet, LNK/Quakbot, etc

Le LNK exécute un script PowerShell, CMD ou MSHTA qui exécute à son tour directement le malware (Payload) ou exécute autre script qui sert de Trojan Downloader.
Par exemple, ci-dessous un script PowerShell exécute mshta.exe qui télécharge un malware depuis une URL distante.

Les LNK Malware comment ça marche

Le Malware peut être un fichier EXE ou une DLL exécutée par regsvr.exe.

Les LNK Malware comment ça marche

Voici un récapitulatif de la chaîne d’infection utilisant les LNK Malware.

Les LNK Malware comment ça marche

Quelques exemples de LNK Malware

Pour commencer, vous trouverez un exemple rapide dans cet article : Virus Chronopost par mail : Trojan:Win32/Wacatac.B!ml et Trojan RAT

Exemple de campagne visant la France

Voici un autre exemple d’utilisation de Trojan LNK qui sert de point de départ pour infecter le PC de la victime.
Ici il s’agit de tromper l’utilisateur en faisant passer un fichier raccourci LNK en un fichier JPEG ou MP4.
Si l’utilisateur double-clic dessus, cela charge un fichier HTA qui exécute un script VBS malveillant pour dropper un fichier BAT sur le PC de la victime.
Au final, cela charge un script PowerShell malveillant.

Trojan LNK et Malware PowerShell

Emotet

Cet exemple d’utilisation de fichier LNK malveillant par le malware Emotet se fait en quatre grande étapes :

  1. La victime ouvre un fichier LNK reçu par mail
  2. Ce dernier exécute une commande CMD pour lancer script VBS
  3. wscript.exe exécute le script VBS qui télécharge la DLL malveillante
  4. Ensuite, regsrv.exe exécute le fichier DLL Emotet
Quelques exemples de LNK Malware avec Emotet
Source : McAfee

QuakBot

Voici un autre exemple avec le malware Quakbot :

  • L’internaute ouvre un fichier LNK reçu dans un email
  • Le LNK pointe vers Powershell avec en argument une URL distante pour télécharger et exécuter un fichier DLL dans %TEMP%
  • Ce script PowerShell permet d’exécuter la charge utile principale de la DLL Qakbot à l’aide de l’utilitaire rundll32 ou regsrv.exe
Quelques exemples de LNK Malware avec Quakbot
Source : McAfee

IceDid

Enfin on termine de ce dernier exemple d’utilisation de LNK malveillant avec IceDid :

  1. La cible ouvre un fichier LNK malveillant reçu en pièce jointe d’un mail
  2. Ce dernier exécute PowerShell avec un paramètre offusqué
  3. Le paramètre PowerShell vise à faire exécuter MSHTA avec une URL distante. Cela permet de télécharger le fichier DLL de QuakBot
  4. regsrv32.exe exécute la DLL malveillante
Quelques exemples de LNK Malware avec IceDid
Source : McAfee

Comment se protéger des LNK Malware

Voici quelques conseils pour se protéger des fichiers LNK.
Tout d’abord savoir que les fichier LNK sont des entrées à des menaces informatiques est important.
Comme d’habitude, il est recommandé de faire attention aux pièces jointes par mail et plus globalement n’ouvre que des fichiers depuis des sources sûres.

Ensuite deux conseils pour briser la chaîne des LNK Malware :

Enfin appliquer les recommandations de mon tutoriel :