Atores maliciosos continuam a explorar arquivos LNK em ataques contínuos, aproveitando-se de uma vulnerabilidade fundamental que oculta conteúdo prejudicial dos usuários. Como a Microsoft ainda não corrigiu essa vulnerabilidade, é necessário estar vigilante ao lidar com arquivos LNK. Este guia fornece etapas cruciais para se proteger contra possíveis abusos desses tipos de arquivo.
Entendendo os arquivos LNK: os riscos que eles representam
Os arquivos LNK, frequentemente gerados como atalhos no sistema operacional Windows, possuem a extensão.lnk. Você pode estar familiarizado com a criação ou permissão para que aplicativos criem esses atalhos na área de trabalho; no entanto, é crucial observar que o Windows oculta a extensão.lnk, substituindo-a por um ícone de seta horizontal característico.
Esses atalhos direcionam os usuários para o arquivo ou aplicativo designado, mas possuem uma capacidade alarmante: seu campo de destino pode ser manipulado para incluir instruções de linha de comando. Esse recurso permite que cibercriminosos executem scripts maliciosos, frequentemente usados em ataques sem arquivo, como os exemplificados por malwares como o Astaroth.
O que é particularmente perigoso é que os atacantes podem ocultar scripts maliciosos utilizando espaços em branco excessivos no campo de destino. Consequentemente, os usuários podem ver apenas um endereço de destino benigno, enquanto instruções maliciosas são executadas em segundo plano. Essa vulnerabilidade é rastreada sob o ID: CVE-2025-9491.
Normalmente, um arquivo.lnk enganoso é ocultado dentro de um arquivo compactado, apresentando um nome enganoso como “Instructions.pdf.ink”.Como o Windows omite a exibição da extensão do arquivo, os usuários podem identificá-lo erroneamente como “Instructions.pdf” e, sem saber, iniciar o ataque ao abri-lo.
Revelando extensões de arquivo LNK no Windows
A primeira linha de defesa contra essas ameaças é reconhecer arquivos LNK como atalhos e não como arquivos legítimos. Como os arquivos LNK são projetados para funcionar em um ambiente local ou de rede, qualquer arquivo LNK não solicitado proveniente de fontes externas provavelmente é uma tentativa de phishing.
Para melhorar a identificação de arquivos LNK, você pode configurar o Windows para exibir a extensão.lnk. Isso requer uma modificação no registro, pois a opção padrão de exibição de extensões de arquivo não se aplica a arquivos.lnk. Comece habilitando a opção “Mostrar extensões de arquivo” nas configurações do sistema e, em seguida, aplique a seguinte alteração no registro:
Importante: Faça um backup do seu Registro antes de realizar qualquer alteração. Alterações incorretas podem levar à instabilidade do sistema ou à perda de dados.
Acesse o Registro e navegue até:
HKEY_CLASSES_ROOT\lnkfile
Uma vez lá, localize e exclua a NeverShowExtsequência de caracteres. Reinicie o computador para que as alterações entrem em vigor. Depois disso, todos os atalhos exibirão a extensão.lnk. Tenha cuidado e não abra nenhum arquivo que afirme ser um arquivo.ink.
Analisando arquivos LNK para fins de segurança.
Se você encontrar um arquivo LNK suspeito, é aconselhável examinar cuidadosamente o campo “Destino”.Clique com o botão direito do mouse no arquivo e selecione “Propriedades”. Na guia “Atalho”, examine atentamente o campo “Destino”.
Um atalho legítimo deve exibir o caminho exato para o arquivo executável entre aspas. Se o caminho levar a ferramentas de linha de comando como cmd.exe, powershell.exe ou mshta.exe, isso pode indicar intenções maliciosas. Além disso, a presença de caracteres aleatórios ou sequências binárias no final da string pode sugerir atividades ilícitas.
Desativar a reprodução automática e a pré-visualização de arquivos
Historicamente, os recursos de Reprodução Automática do Windows para unidades USB e as opções de visualização de arquivos no Explorador de Arquivos têm sido vulneráveis a exploração por meio de arquivos LNK. Embora a Microsoft tenha aprimorado as medidas de segurança, esses recursos ainda representam riscos. Se não forem essenciais para o seu fluxo de trabalho, considere desativá-los para maior segurança.
Para desativar a Reprodução Automática, acesse Configurações do Windows → Bluetooth e dispositivos → Reprodução Automática e desative a opção. Para obter informações sobre como gerenciar as configurações de visualização de arquivos, consulte nosso guia completo.
Ativando o acesso controlado à pasta
O Acesso Controlado a Pastas é um recurso do Windows projetado para proteger pastas críticas — como Documentos, Imagens e Área de Trabalho — contra alterações não autorizadas, principalmente contra ataques de ransomware. Dado que muitos ataques a arquivos LNK visam esses diretórios para ações maliciosas, habilitar esse recurso adiciona uma camada crucial de segurança. Para obter instruções detalhadas sobre a ativação, consulte nosso guia.
Reforçando a segurança do PowerShell
Os ataques a arquivos LNK frequentemente exploram comandos do PowerShell para executar ações maliciosas. Para mitigar esse risco, restrinja as operações do PowerShell apenas a scripts assinados. Digite “powershell” na barra de pesquisa do Windows, clique com o botão direito do mouse no aplicativo e selecione Executar como administrador. Insira o seguinte comando, confirmando a alteração digitando “y”.
Set-ExecutionPolicy AllSigned
Tenha em atenção que esta configuração pode prejudicar fluxos de trabalho que dependem de scripts personalizados do PowerShell, especialmente em ambientes corporativos. Para reverter esta alteração, utilize:
Set-ExecutionPolicy Undefined
Consulte também o nosso guia para obter dicas adicionais sobre como proteger ainda mais o PowerShell.
Uma regra prática prudente: evite abrir arquivos LNK a menos que você os tenha criado ou autorizado sua criação por meio de um aplicativo confiável. Essa precaução é particularmente relevante para arquivos baixados da internet. Sempre utilize os recursos de segurança do Windows para obter a máxima proteção, especialmente se alguns deles estiverem desativados.
Artigos relacionados:
Soluções para o problema de mudança automática de papel de parede do iPhone
16:33
Discord aprimora controles parentais para monitorar a atividade de adolescentes na plataforma.
16:29
Utilizando o Lenovo Vantage para escanear os componentes de hardware do seu laptop
1:29
Deixe um comentário