捷徑(LNK)檔越來越被網路犯罪分子所愛用。趨勢科技已經看到許多威脅利用惡意LNK檔案:從知名的勒索病毒家族、常用於針對性攻擊的後門程式,以及銀行木馬,一直到垃圾郵件,甚至是針對LNK本身漏洞的攻擊碼。這些惡意威脅通常會利用合法工具讓情況變得更嚴重,如濫用PowerShell或是腳本自動化工具AutoIt。所以當我們在以色列醫院偵測到有資料竊取程式利用LNK檔也就絲毫不奇怪了。
醫療機構被認為是網路犯罪分子的搖錢樹,因為具備了利潤豐厚的來源 – 擁有可以在地下市場貨幣化的個人身份資料。經過初步調查顯示,任何瀏覽器相關資訊(如登錄憑證)都可以被偷走,這對可以用瀏覽器操作的管理系統和應用程式來說相當重要。
趨勢科技看到它試圖進入系統和區域網路內的分享資料夾。另一個值得注意的是,它結合了蠕蟲的散播能力以及隱身能力。
趨勢科技分析仍在進行中,當我們找到關於此威脅的詳細資訊將會持續更新本篇文章。下面是目前所知的資訊:
透過蠕蟲散播。惡意軟體的初步分析顯示會透過蠕蟲散播。它將自己(包括捷徑檔、非惡意可執行檔AutoIt,以及惡意AutoIt腳本)複製到中毒系統的根目錄 – C:\WinddowsUpdated\<file copy>。
偽裝成Windows更新。該捷徑檔偽裝成瀏覽器和Windows更新程式,網頁3D製作工具,並鏈結到系統的下載和遊戲資料夾。 繼續閱讀
