報導摘要

根據資安公司Point Wild的Lat61威脅情報團隊所揭露的一項新研究，一場複雜且具欺騙性的多階段惡意軟體攻擊正在發生。這場攻擊利用看似無害的Windows捷徑（LNK）檔案，來散佈名為REMCOS的遠端存取木馬（RAT）。攻擊者透過電子郵件附件等方式，誘騙使用者開啟這些捷徑檔案。一旦開啟，捷徑檔案會在後台悄悄執行一個PowerShell命令，下載並解碼一個Base64編碼的惡意酬載。這個酬載隨後以.PIF（程式資訊檔）的形式執行，並偽裝成合法程式，最終在受害者系統上安裝REMCOS後門程式。整個過程設計得非常隱蔽，旨在規避傳統的安全偵測機制。

資安風險

此攻擊的最大風險在於其高超的隱蔽性與多階段的傳遞鏈。攻擊者利用使用者對捷徑檔案的信任，繞過許多安全防禦的第一道防線。PowerShell命令的後台執行、Base64編碼以及酬載偽裝成合法程式（如CHROME.PIF），都使得惡意活動難以被即時發現。REMCOS後門程式一旦成功安裝，便會持續駐留在系統中，並建立日誌檔案以記錄按鍵。這種持久性使得攻擊者可以長期監控受害者，並在受害者不知情的情況下竊取敏感資訊。

安全影響

1. 鍵盤記錄（Keylogging）：竊取使用者輸入的密碼、信用卡號等敏感資訊。
2. 遠端Shell存取：允許攻擊者直接在受害者系統上執行命令。
3. 檔案存取：竊取或竄改受害者電腦上的重要檔案。
4. 監控功能：攻擊者可以控制電腦的網路攝影機和麥克風，對使用者進行竊聽和監視。

行動建議

1. 保持警惕：對來自不明來源的電子郵件附件，特別是包含捷徑（LNK）檔案的壓縮檔，應保持高度警覺。在開啟任何附件之前，務必確認其來源的合法性。
2. 更新安全軟體：確保防毒軟體和端點保護解決方案始終保持最新狀態，並啟用即時保護功能。這些軟體能夠偵測並封鎖已知的惡意酬載與惡意行為。
3. 禁用巨集和PowerShell腳本：企業應設定群組原則，限制使用者執行不明來源的PowerShell腳本。
4. 教育訓練：對員工進行資安意識培訓，使其了解網路釣魚和社交工程攻擊的常見手法，並學會如何識別惡意檔案。
5. 監控網路流量：組織應監控網路流量，特別是與已知惡意命令與控制（C2）伺服器的通訊，以偵測並阻斷潛在的威脅。

結論

這場針對Windows捷徑檔案的新攻擊活動，再次提醒我們威脅環境的不斷演變。攻擊者持續尋找新的方法來規避傳統的安全防護。REMCOS後門程式的高級功能及其隱蔽的傳播機制，對個人和企業都構成了嚴重的威脅。面對這類攻擊，單純依賴技術防禦已不足夠，更需要結合使用者警覺性、資安意識教育和嚴格的內部安全政策。唯有透過多層次的防護策略，才能有效降低被惡意軟體感染的風險，保護我們的數位資產與隱私安全。

資料來源：https://hackread.com/attack-windows-shortcut-files-install-remcos-backdoor/