Uma nova campanha de malware, chamada “NordDragonScan”, está se espalhando em ambientes Windows ao explorar arquivos de atalho (.LNK) combinados com scripts ocultos. A tática foi identificada pelo BoletimSec, destacando como invasores utilizam ferramentas do próprio sistema para driblar antivírus
Atalhos LNK normalmente apontam para apps ou documentos, mas podem carregar comandos maliciosos ocultos em parâmetros longos — invisíveis na janela de propriedades. Quando o usuário clica no ícone, o atalho executa scripts PowerShell ou CMD que baixam e executam malware no sistema. Essa técnica de “fileless” não grava arquivos no disco, o que dificulta a detecção .
Campanhas anteriores usavam diferentes combinações: LNK + PowerShell + MSHTA ou scripts VBScript, como observado pela McAfee e Trend Micr. Os invasores exploram o limite de 260 caracteres da interface para esconder o verdadeiro comando em mais de 4.000 caracteres possíveis .
Dica de prevenção
-
Evite abrir atalhos LNK recebidos por e‑mail ou em arquivos comprimidos, especialmente se vierem com ícones suspeitos.
-
Configure seu antivírus para bloquear ou analisar atalhos (.LNK) executáveis.
-
Habilite o registro e auditoria de scripts PowerShell via políticas de grupo.
-
Mantenha sistemas e antivírus atualizados, incluindo regras de detecção para fileless.
-
Treine usuários sobre os riscos de clicar em arquivos ocultos ou atalhos inesperados.
A técnica que combina atalhos LNK com scripts ocultos reforça a capacidade dos invasores de explorar ferramentas legítimas para evitar detecção. A conscientização, políticas restritivas e monitoramento ativo são essenciais para reduzir essa ameaça.
Para reforçar sua defesa com análise avançada e automação de segurança, conte com a LC SEC. Saiba mais sobre nossos serviços em lcsec.io.
Compartilhe nas redes sociais:
