Archivo LNK- ¿Acceso Directo O Malware?

Un archivo LNK puede ser algo tan sencillo como un acceso directo a un programa, carpeta u otro archivo. No obstante, es usado por los creadores de Malware para infectar computadores. Por esta razón, en este tutorial te explicaré en detalle que son estos archivos y que puedes hacer para detectar si está contaminado con algún software malicioso.

Índice

    ¿Qué es un archivo LNK?

    Qué es un archivo LNK

    Un archivo LNK, similar a una identidad en el sistema Mac, es una alternativa o “enlace” de Windows que sirve como conexión a una carpeta o programa de documento de imagen original. En este sentido, contiene el tipo, la posición y el nombre de archivo del destino del acceso directo, así como la aplicación que abre el documento de destino y una tecla de acceso directo adicional.

    Asimismo, para crear este tipo de archivo en Windows, escoge un archivo, carpeta o programa ejecutable y selecciona “Crear acceso directo” en la parte inferior del menú desplegable. La ubicación del formato de archivo y el directorio “Comienzo” son dos características básicas de los archivos LNK, además de que el formato de archivo está enmascarado.

    Por otro lado, los formatos de archivo LNK generalmente tienen el mismo ícono que el archivo original, pero con la adición de una pequeña flecha curvada para mostrar que el archivo apunta a una ubicación diferente. Cuando se hace doble clic en el acceso directo, se comporta como si el usuario lo hubiera hecho en el archivo real.

    Por otra parte, estos archivos que contienen accesos directos a aplicaciones pueden tener propiedades que afectan la forma en que se ejecuta el programa. Para cambiar los atributos, haz clic con el botón derecho en el archivo de acceso directo y elige “Propiedades”, luego cambia el campo “Destino”.

    En lugar de ser extensiones de archivo, estos son extensiones del “Explorador de Windows”. Por lo tanto, como extensión de terminal, los documentos “.lnk” solo se pueden usar en ese mismo explorador para sustituir un archivo y tienen otros propósitos además de servir como acceso directo a un documento local.

    Si bien los accesos directos se vinculan a archivos y directorios específicos cuando se crean, pueden volverse inoperables si el destino se cambia a una ubicación diferente. “Explorer” comenzará a reparar una carpeta de acceso directo que apunta a un “objetivo muerto” cuando se abre.

    Especificación técnica

    archivo LNK

    Solo cuando la configuración de visualización de carpetas “Ocultar extensiones para tipos de archivos reconocidos” no está marcada, Windows no muestra la extensión de documento LNK para accesos directos de documentos.

    Sin embargo, puedes habilitar la visualización de la extensión del archivo eliminando la propiedad “NeverShowExt” del elemento de registro de Windows del archivo “HKEY_CLASSES_ROOT\lnk”.

    Para hacerlo, sigue estos pasos a continuación.

    • Paso 1. Abre el “Editor de registro” ingresando “Regedit” en el campo de búsqueda de la barra de tareas y eligiendo el programa.
    • Paso 2. En la aplicación, dirígete a la ubicación “Computer\HKEY HKEY_CLASSES_ROOT\lnkfile”.
    • Paso 3. Haz una copia de seguridad del elemento haciendo clic con el botón derecho y seleccionando “Exportar”.
    • Paso 4. Selecciona y elimina el atributo “NeverShowExt”.
    • Paso 5. Debes reiniciar Windows para que los cambios se efectúen.

    Malware en los archivos LNK

    Malware en los archivos LNK

    Los ciberdelincuentes siempre buscan técnicas innovadoras para atacar las defensas de seguridad y cuanto más discreto sea el malware, más difícil será detectarlo y eliminarlo. En consecuencia, los autores de amenazas aprovechan esta táctica para insertar estos programas maliciosos difíciles de detectar en un archivo LNK, manipulando una aplicación confiable para que se convierta en una amenaza peligrosa.

    Hace algún tiempo, comenzó una campaña de “phishing” dirigido a profesionales en “LinkedIn” con un troyano de puerta trasera sofisticado llamado “more_eggs” oculto en una oferta de trabajo. Para esto, los candidatos de la aplicación en cuestión recibieron archivos “ZIP” maliciosos con el nombre de los cargos de las víctimas en sus perfiles de LinkedIn.

    Consecuentemente, cuando las víctimas abrieron las ofertas de trabajo falsas, sin saberlo, iniciaron la instalación oculta de la puerta trasera sin archivos more_eggs. Una vez instalada en un dispositivo, la puerta trasera sofisticada puede obtener más complementos maliciosos y dar acceso a los piratas informáticos a las computadoras de las víctimas.

    Asimismo, una vez que el troyano está en el sistema informático, los autores de este tipo de amenazas pueden penetrar en el sistema e infectarlo con otros tipos de malware como “Ransomware”, robar datos o exfiltrar datos. “Golden Eggs”, el grupo de amenazas detrás de este malware, lo vendió como “MaaS (Malware-as-a-Service)” para que sus clientes lo explotaran.

    • El malware puede acechar en tu archivo LNK más débil

    Debido a que un archivo LNK ofrece una alternativa conveniente para abrir un archivo, los actores de amenazas pueden usarlos para crear amenazas basadas en scripts. Uno de estos métodos es mediante el uso de “PowerShell”, un sólido lenguaje de secuencias de comandos de shell y línea de comandos desarrollados por Microsoft.

    Por lo tanto, debido a que PowerShell se ejecuta discretamente en segundo plano, brinda una oportunidad perfecta para que los piratas informáticos inserten código malicioso. Muchos ciberdelincuentes se han aprovechado de esto ejecutando scripts de PowerShell en archivos LNK.

    Este tipo de escenario de ataque no es nuevo, pues los exploits de archivos LNK prevalecieron en 2013 y siguen siendo una amenaza activa en la actualidad. Además, algunos escenarios recientes incluyen el uso de este método para insertar malware en documentos relacionados con COVID-19 o adjuntar un archivo ZIP con un virus PowerShell disfrazado en un correo electrónico de phishing.

    También puede interesarte: Archivo PAK- Cómo Abrirlos Y Que Programas Utilizar

    • Cómo utilizan los ciberdelincuentes los archivos LNK con fines maliciosos

    Los actores de amenazas pueden colar un script malicioso en el comando PowerShell de la ruta de destino del archivo LNK. En algunos casos, puedes ver el código en “Propiedades de Windows”, pero a veces es difícil detectar el problema.

    La URL de la ruta puede parecer inofensiva, sin embargo, hay una cadena de espacios en blanco después del símbolo del sistema (cmd.exe) en los que se ha insertado sigilosamente un código malicioso. Como consecuencia, debido a que el campo “Objetivo” tiene un límite de caracteres de 260, solo puedes ver el comando completo en la “herramienta de análisis LNK”.

    Análisis de malware en el archivo LNK

    Análisis de malware en el archivo LNK

    En caso de que abras un archivo LNK con contenido malicioso, el malware infectará tu computadora, en la mayoría de los casos sin que te des cuenta de que algo anda mal. Sin embargo, hay un sistema de seguridad que permite eliminar amenazas ocultas en este tipo de archivo.

    Dicho sistema es “OPSWAT Deep CDR (Content Disarm and Reconstruction)” que protege a los sistemas informáticos de posibles amenazas ocultas dentro de los archivos. Esta tecnología de prevención de amenazas asume que todos los archivos que ingresan a tu red son maliciosos. Luego deconstruye, desinfecta y reconstruye cada archivo con todo el contenido sospechoso eliminado.

    Además, elimina todos los comandos “cmd.exe” y “powershell.exe” dañinos presentes en los archivos LNK. En el ejemplo anterior de un troyano en una oferta de trabajo de LinkedIn, el archivo LNK infectado estaba oculto en un archivo ZIP y en estos casos, este programa procesa múltiples niveles de archivos anidados, detecta componentes infectados y elimina contenido dañino.

    Como resultado de todo este proceso anterior, el malware se desactiva y ya no se puede ejecutar en los archivos de consumo seguro.

    Igualmente, OPSWAT te permite integrar múltiples tecnologías propietarias para brindar capas adicionales de protección contra el malware. Un ejemplo de ello es “Multiscanning”, que permite a los usuarios escanear simultáneamente con más de 30 motores antimalware (utilizando AI/ML, firmas, heurística, etc.) para lograr tasas de detección cercanas al 100 %.

    Conclusión

    Como ya has visto, un archivo LNK es simplemente un acceso directo a un archivo, carpeta o programa que puedes colocar en el sitio que desees en tu computador (comúnmente en el escritorio) para acceder a alguno de ellos de una manera más rápida sin tener que buscar la ruta completa del original.

    Sin embargo, debes tener cuidado con este tipo de archivos, ya que son utilizados por los autores de programas maliciosos para robar datos o dañarlos. Por consiguiente, si no conoces la fuente de donde provengan, debes usar el programa que te indique anteriormente u otro programa que detecte Malware para evitar cualquier inconveniente.

    TE PUEDE INTERESAR

    Deja un comentario

    Tu dirección de correo electrónico no será publicada.

    Go up