04.07.2022 – Kategorie: IT-Sicherheit

Windows-Verknüpfungen: Cyberangriffe per Malware und Spam nehmen zu

Die Varonis Threat Labs haben in den letzten Wochen eine steigende Anzahl an Cyberangriffen über bösartige Windows-Verknüpfungen festgestellt. So wurden unter anderem gezielte Angriffe des Malware-as-a-Service-Anbieters Golden Chickens (auch als Venom Spider bekannt) und Malspam-Kampagnen durch Emotet beobachtet.

„Diese Kampagnen zeigen erneut, dass Cyberkriminelle immer wieder auf bewährte Taktiken zurückgreifen, auch wenn diese scheinbar schon längst aus der Mode gekommen sind“, sagt Michael Scheffler, Country Manager DACH von Varonis. Nutzer verwenden Verknüpfungsdateien, um eine Verknüpfung zu einer beliebigen Datei oder Ordner herzustellen, aber auch, um benutzerfreundliche Windows-Verknüpfungen im Startmenü zu erstellen. Standardmäßig übernehmen Windows-Verknüpfungen das Symbol des Zieldateityps mit einer kleinen Pfeilmarkierung.

Es ist jedoch einfach, dieses Symbol zu ändern, um den Eindruck zu erwecken, dass das Ziel ein anderer, scheinbar legitimer Dateityp ist. Die bösartige Verknüpfung sieht entsprechend wie jede andere, dem Opfer vertraute Verknüpfungsdatei aus und nutzt legitime Dienstprogramme, um einen ersten Stager zu starten (LOLBins/living off the land binaries-Technik). „Auf diese Weise können mit dieser recht einfach gestrickten Social-Engineering-Technik Opfer dazu verleitet werden, bösartige Inhalte aufzurufen. Dabei sind auch keine komplexen Exploits oder verdächtigen Anfangsnutzlasten erforderlich“, sagt Michael Scheffler.

Varonis IT-Security-Trends
Michael Scheffler ist Country Manager DACH bei Varonis Systems. (Bild: Varonis)

Windows-Verknüpfungen: Maßnahmen gegen Cyberangriffe

Da Windows-Verknüpfungen von den Nutzern in der Regel als gutartig angesehen werden, sollten Sicherheitsverantwortliche aufgrund der in letzter Zeit beobachteten Gemeinsamkeiten der Angriffe folgende Maßnahmen umsetzen, um diese Bedrohungen zu entschärfen:

  • Überprüfen Sie E-Mail-Anhänge und isolieren bzw. blockieren Sie verdächtige Inhalte wie komprimierte Dateien mit Windows-Verknüpfungen (.lnk-Dateien).
  • Verhindern Sie die Ausführung von unerwarteten Binärdateien und Skripten aus dem %TEMP%-Verzeichnis.
  • Beschränken Sie den Benutzerzugriff auf Windows-Skripting-Engines, einschließlich PowerShell und VBScript. Stellen Sie sicher, dass Skripte über Gruppenrichtlinien signiert werden müssen.
  • Achten Sie auf die unerwartete Ausführung legitimer LOLbins wie ie4uinit.exe und wmic.exe durch „normale“ User.

Varonis verfolgt seit seiner Gründung im Jahr 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter. Hierbei stellt der Anbieter die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie. Die Datensicherheits-Plattform (DSP) von Varonis erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten. (sg)

Lesen Sie auch: Vanity-URL: Wie Spoofing Social-Engineering-Angriffe ermöglicht

Aufmacherbild: Alexander Limbach – Adobe Stock


Teilen Sie die Meldung „Windows-Verknüpfungen: Cyberangriffe per Malware und Spam nehmen zu“ mit Ihren Kontakten:


Scroll to Top