Archivo LNK- ¿Acceso Directo O Malware?

Un archivo LNK puede ser algo tan sencillo como un acceso directo a un programa, carpeta u otro archivo. No obstante, es usado por los creadores de Malware para infectar computadores. Por esta razón, en este tutorial te explicaré en detalle que son estos archivos y que puedes hacer para detectar si está contaminado con algún software malicioso.

Índice
  1. ¿Qué es un archivo LNK?
  2. Especificación técnica
  3. Malware en los archivos LNK
    1. El malware puede acechar en tu archivo LNK más débil
    2. Cómo utilizan los ciberdelincuentes los archivos LNK con fines maliciosos
  4. Análisis de malware en el archivo LNK
  5. Conclusión

¿Qué es un archivo LNK?

Qué es un archivo LNK

Un archivo LNK, similar a una identidad en el sistema Mac, es una alternativa o “enlace” de Windows que sirve como conexión a una carpeta o programa de documento de imagen original. En este sentido, contiene el tipo, la posición y el nombre de archivo del destino del acceso directo, así como la aplicación que abre el documento de destino y una tecla de acceso directo adicional.

Asimismo, para crear este tipo de archivo en Windows, escoge un archivo, carpeta o programa ejecutable y selecciona “Crear acceso directo” en la parte inferior del menú desplegable. La ubicación del formato de archivo y el directorio “Comienzo” son dos características básicas de los archivos LNK, además de que el formato de archivo está enmascarado.

Por otro lado, los formatos de archivo LNK generalmente tienen el mismo ícono que el archivo original, pero con la adición de una pequeña flecha curvada para mostrar que el archivo apunta a una ubicación diferente. Cuando se hace doble clic en el acceso directo, se comporta como si el usuario lo hubiera hecho en el archivo real.

Por otra parte, estos archivos que contienen accesos directos a aplicaciones pueden tener propiedades que afectan la forma en que se ejecuta el programa. Para cambiar los atributos, haz clic con el botón derecho en el archivo de acceso directo y elige “Propiedades”, luego cambia el campo “Destino”.

Lee TambiénCómo Eliminar Una Foto Del Carrusel O De Las Historias En InstagramCómo Eliminar Una Foto Del Carrusel O De Las Historias En Instagram

En lugar de ser extensiones de archivo, estos son extensiones del “Explorador de Windows”. Por lo tanto, como extensión de terminal, los documentos “.lnk” solo se pueden usar en ese mismo explorador para sustituir un archivo y tienen otros propósitos además de servir como acceso directo a un documento local.

Si bien los accesos directos se vinculan a archivos y directorios específicos cuando se crean, pueden volverse inoperables si el destino se cambia a una ubicación diferente. “Explorer” comenzará a reparar una carpeta de acceso directo que apunta a un “objetivo muerto” cuando se abre.

Especificación técnica

archivo LNK

Solo cuando la configuración de visualización de carpetas “Ocultar extensiones para tipos de archivos reconocidos” no está marcada, Windows no muestra la extensión de documento LNK para accesos directos de documentos.

Sin embargo, puedes habilitar la visualización de la extensión del archivo eliminando la propiedad “NeverShowExt” del elemento de registro de Windows del archivo “HKEY_CLASSES_ROOT\lnk”.

Para hacerlo, sigue estos pasos a continuación.

Lee También7 Mejores Antivirus Ligeros Para Windows 107 Mejores Antivirus Ligeros Para Windows 10
  • Paso 1. Abre el “Editor de registro” ingresando “Regedit” en el campo de búsqueda de la barra de tareas y eligiendo el programa.
  • Paso 2. En la aplicación, dirígete a la ubicación “Computer\HKEY HKEY_CLASSES_ROOT\lnkfile”.
  • Paso 3. Haz una copia de seguridad del elemento haciendo clic con el botón derecho y seleccionando “Exportar”.
  • Paso 4. Selecciona y elimina el atributo “NeverShowExt”.
  • Paso 5. Debes reiniciar Windows para que los cambios se efectúen.

Malware en los archivos LNK

Malware en los archivos LNK

Los ciberdelincuentes siempre buscan técnicas innovadoras para atacar las defensas de seguridad y cuanto más discreto sea el malware, más difícil será detectarlo y eliminarlo. En consecuencia, los autores de amenazas aprovechan esta táctica para insertar estos programas maliciosos difíciles de detectar en un archivo LNK, manipulando una aplicación confiable para que se convierta en una amenaza peligrosa.

Hace algún tiempo, comenzó una campaña de “phishing” dirigido a profesionales en “LinkedIn” con un troyano de puerta trasera sofisticado llamado “more_eggs” oculto en una oferta de trabajo. Para esto, los candidatos de la aplicación en cuestión recibieron archivos “ZIP” maliciosos con el nombre de los cargos de las víctimas en sus perfiles de LinkedIn.

Consecuentemente, cuando las víctimas abrieron las ofertas de trabajo falsas, sin saberlo, iniciaron la instalación oculta de la puerta trasera sin archivos more_eggs. Una vez instalada en un dispositivo, la puerta trasera sofisticada puede obtener más complementos maliciosos y dar acceso a los piratas informáticos a las computadoras de las víctimas.

Asimismo, una vez que el troyano está en el sistema informático, los autores de este tipo de amenazas pueden penetrar en el sistema e infectarlo con otros tipos de malware como “Ransomware”, robar datos o exfiltrar datos. “Golden Eggs”, el grupo de amenazas detrás de este malware, lo vendió como “MaaS (Malware-as-a-Service)” para que sus clientes lo explotaran.

  • El malware puede acechar en tu archivo LNK más débil

Debido a que un archivo LNK ofrece una alternativa conveniente para abrir un archivo, los actores de amenazas pueden usarlos para crear amenazas basadas en scripts. Uno de estos métodos es mediante el uso de “PowerShell”, un sólido lenguaje de secuencias de comandos de shell y línea de comandos desarrollados por Microsoft.

Lee También¿Cómo Desinstalar Juegos De Steam Completamente? [3 Métodos] [Partition Magic]¿Cómo Desinstalar Juegos De Steam Completamente? [3 Métodos] [Partition Magic]

Por lo tanto, debido a que PowerShell se ejecuta discretamente en segundo plano, brinda una oportunidad perfecta para que los piratas informáticos inserten código malicioso. Muchos ciberdelincuentes se han aprovechado de esto ejecutando scripts de PowerShell en archivos LNK.

Este tipo de escenario de ataque no es nuevo, pues los exploits de archivos LNK prevalecieron en 2013 y siguen siendo una amenaza activa en la actualidad. Además, algunos escenarios recientes incluyen el uso de este método para insertar malware en documentos relacionados con COVID-19 o adjuntar un archivo ZIP con un virus PowerShell disfrazado en un correo electrónico de phishing.

También puede interesarte: Archivo PAK- Cómo Abrirlos Y Que Programas Utilizar

  • Cómo utilizan los ciberdelincuentes los archivos LNK con fines maliciosos

Los actores de amenazas pueden colar un script malicioso en el comando PowerShell de la ruta de destino del archivo LNK. En algunos casos, puedes ver el código en “Propiedades de Windows”, pero a veces es difícil detectar el problema.

La URL de la ruta puede parecer inofensiva, sin embargo, hay una cadena de espacios en blanco después del símbolo del sistema (cmd.exe) en los que se ha insertado sigilosamente un código malicioso. Como consecuencia, debido a que el campo “Objetivo” tiene un límite de caracteres de 260, solo puedes ver el comando completo en la “herramienta de análisis LNK”.

Análisis de malware en el archivo LNK

Análisis de malware en el archivo LNK

Lee TambiénLos archivos CPI son formatos de información de videoclipQué Son Los Archivos CPI Y Cómo Abrirlos

En caso de que abras un archivo LNK con contenido malicioso, el malware infectará tu computadora, en la mayoría de los casos sin que te des cuenta de que algo anda mal. Sin embargo, hay un sistema de seguridad que permite eliminar amenazas ocultas en este tipo de archivo.

Dicho sistema es “OPSWAT Deep CDR (Content Disarm and Reconstruction)” que protege a los sistemas informáticos de posibles amenazas ocultas dentro de los archivos. Esta tecnología de prevención de amenazas asume que todos los archivos que ingresan a tu red son maliciosos. Luego deconstruye, desinfecta y reconstruye cada archivo con todo el contenido sospechoso eliminado.

Además, elimina todos los comandos “cmd.exe” y “powershell.exe” dañinos presentes en los archivos LNK. En el ejemplo anterior de un troyano en una oferta de trabajo de LinkedIn, el archivo LNK infectado estaba oculto en un archivo ZIP y en estos casos, este programa procesa múltiples niveles de archivos anidados, detecta componentes infectados y elimina contenido dañino.

Como resultado de todo este proceso anterior, el malware se desactiva y ya no se puede ejecutar en los archivos de consumo seguro.

Igualmente, OPSWAT te permite integrar múltiples tecnologías propietarias para brindar capas adicionales de protección contra el malware. Un ejemplo de ello es “Multiscanning”, que permite a los usuarios escanear simultáneamente con más de 30 motores antimalware (utilizando AI/ML, firmas, heurística, etc.) para lograr tasas de detección cercanas al 100 %.

Conclusión

Como ya has visto, un archivo LNK es simplemente un acceso directo a un archivo, carpeta o programa que puedes colocar en el sitio que desees en tu computador (comúnmente en el escritorio) para acceder a alguno de ellos de una manera más rápida sin tener que buscar la ruta completa del original.

Lee TambiénQué Es El Modo TTY Y Cómo UtilizarloQué Es El Modo TTY Y Cómo Utilizarlo

Sin embargo, debes tener cuidado con este tipo de archivos, ya que son utilizados por los autores de programas maliciosos para robar datos o dañarlos. Por consiguiente, si no conoces la fuente de donde provengan, debes usar el programa que te indique anteriormente u otro programa que detecte Malware para evitar cualquier inconveniente.

Si quieres conocer otros artículos parecidos a Archivo LNK- ¿Acceso Directo O Malware? puedes visitar la categoría Informática.

TE PUEDE INTERESAR

Subir