微软在今年2月例行更新修补了网络捷径文件安全绕过漏洞CVE-2024-21412，不过近期有研究人员提出警告，黑客利用这项漏洞来散布多种恶意软件的情况，其实迄今已超过了一年。

资安业者Fortinet指出，在过去一年里，包括Water Hydra在内的黑客组织，利用这项漏洞散布Lumma Stealer、Meduza Stealer、ACR Stealer等多种窃资软件，攻击范围涵盖北美、西班牙、泰国。相较于通报这项零时差漏洞的资安业者趋势科技，于去年12月发现Water Hydra的漏洞利用攻击行动，根据Fortinet本周公布的这份研究分析，此漏洞的滥用比趋势的相关揭露早了大约5个月。

研究人员看到黑客先是引诱用户点击特定的URL文件，然后在受害电脑下载LNK文件，而这个LNK档内含能够运行HTA脚本的文件，一旦运行，该脚本就会解开PowerShell代码，从而取得最终的URL、诱饵PDF文件，以及恶意Shell代码注入工具，最终将窃资软件注入合法处理进程，从事恶意活动并将窃得数据回传C2服务器。

对于这项漏洞带来的资安风险，微软指出，未经身分验证的攻击者可对目标发送特制的文件，从而绕过相关资安检核，CVSS风险评为8.1分。他们也提及虽然攻击者无法直接强迫用户视图特定内容，但还是可以诱骗用户点击文件链接来触发整个攻击链。

究竟黑客如何发起攻击行动？Fortinet的研究人员指出，对方先是制作指向特定远程服务器的恶意URL文件，其中链接指向的LNK文件，不只使用双重文件扩展名伪装成PDF文件（.PDF.LNK），也滥用Edge主程序的图标资源，让这个文件看起来像是PDF文档。

一旦用户运行URL文件，取得LNK文件并点击，这个文件便会使用forfiles指令调用PowerShell，并运行mshta从另一台服务器取得可运行档。根据研究人员取得的LNK文件，这些文件都会在受害电脑下载类似的可运行档，并包含嵌入的HTA脚本，这个脚本设置的窗口最小化，并且不会显示工具列，使得受害者不易察觉。攻击者借此运行额外的恶意代码，从而推进下个阶段的攻击，解开PowerShell代码。

而这些代码将诱饵PDF文件和另一个可运行档下载到受害电脑，其中的可运行档会在下个阶段注入Shell代码。

研究人员表示，对方使用的代码注入工具大致可分成两种，其中一种是利用映像档散布，在检查受害电脑是否运行调试模式后，电脑就会从图片代管网站Imghippo下载特定图档，然后使用名为GdipBitmapGetPixel的API解出Shell Code，从而在受害电脑植入恶意程序加载工具HijackLoader。

另一种Shell Code注入工具的运作方式相当不同，它从特定数据解密代码，然后使用一系列Windows的API功能注入Shell Code。

但无论那一种Shell Code，最终都会在受害电脑植入窃资软件。值得留意的是，研究人员提及通过HijackLoader加载的窃资软件ACR Stealer，黑客特别滥用电玩市集Steam的社群网站，固定情报解析器作为（Dead Drop Resolver），意图埋藏C2的来源。