Post #4253

Шорткат разведка 11 APT-группировок с 2017 года атакуют через обычные ярлыки Windows, скрывая ссылки на вредоносные скрипты за невидимыми символами. Уязвимость кроется в отображении содержимого поля target у .LNK файлов. злоумышленники маскируют опасный код с помощью символов перевода строки «\x0A» и возврата каретки «\x0D». Когда пользователь проверяет свойства такого ярлыка, Windows не показывает спрятанные команды в поле «Объект». Среди активных эксплуататоров этой техники группировки из Северной Кореи, Ирана, России и Китая. Северокорейские хакеры особенно изобретательны, создавая непривычно огромные .LNK файлы для обхода детекта, они используют файлы со средним размером 3 МБ, а максимум доходит до 70 МБ. Microsoft классифицировала проблему как «низкоприоритетную» и не собирается выпускать патч, несмотря на почти 1000 выявленных вредоносных образцов, которые эксплуатируются уже более 8 лет. НеКасперский