O que é a campanha de malware NordDragonScan

Uma nova campanha de malware, chamada “NordDragonScan”, está se espalhando em ambientes Windows ao explorar arquivos de atalho (.LNK) combinados com scripts ocultos. A tática foi identificada pelo BoletimSec, destacando como invasores utilizam ferramentas do próprio sistema para driblar antivírus.

Como funciona

Atalhos LNK normalmente apontam para apps ou documentos, mas podem carregar comandos maliciosos ocultos em parâmetros longos — invisíveis na janela de propriedades. Quando o usuário clica no ícone, o atalho executa scripts PowerShell ou CMD que baixam e executam malware no sistema.

Essa técnica de “fileless” não grava arquivos no disco, o que dificulta a detecção. Campanhas anteriores usaram diferentes combinações, como LNK + PowerShell + MSHTA ou scripts VBScript, conforme observado pela McAfee e Trend Micro. Os invasores exploram o limite de 260 caracteres da interface para esconder o verdadeiro comando em mais de 4.000 caracteres possíveis.

Sinais de alerta / Como identificar

É importante estar atento a arquivos de atalho recebidos por e-mail ou em arquivos comprimidos, especialmente se vierem com ícones suspeitos.

O que fazer agora / Como se proteger

1. Evite abrir atalhos LNK recebidos por e‑mail ou em arquivos comprimidos, especialmente se vierem com ícones suspeitos.
2. Configure seu antivírus para bloquear ou analisar atalhos (.LNK) executáveis.
3. Habilite o registro e auditoria de scripts PowerShell via políticas de grupo.
4. Mantenha sistemas e antivírus atualizados, incluindo regras de detecção para fileless.
5. Treine usuários sobre os riscos de clicar em arquivos ocultos ou atalhos inesperados.

Prevenção / Boas práticas

A técnica que combina atalhos LNK com scripts ocultos reforça a capacidade dos invasores de explorar ferramentas legítimas para evitar detecção. A conscientização, políticas restritivas e monitoramento ativo são essenciais para reduzir essa ameaça.