Premettiamo che i sistemi Windows permettono ai file SCF di caricare la propria icona anche tramite internet, detto questo possiamo comprendere come funziona questo attacco: infatti ha come veicolo principale proprio un file con estensione SCF il quale punta ad un URL esterno ove risiede un server SMB.
Creando un file SCF ad hoc è possibile, grazie all’ausilio del server SMB che ingannerà il computer facendogli credere del bisogno di autenticarsi, di rubare le credenziali di Windows che saranno trasmesse in formato NTLMv1 o v2 o LM Password Hash. Questo se usato in coppia con Chrome, che come impostazione predefinita ha il download automatico dei file, può esser devastante.
Questo perchè il file SCF per eseguire l’operazione sopra indicata non abbisogna di alcuna interazione da parte dell’utente e non mostra alcuna notifica: l’operazione è fatta in pochi secondi, la cosa si aggrava se è abilitato il download automatico dei file.
Per questo motivo impostiamo di scegliere ogni volta dove salvare i file che scarichiamo:
da Impostazioni > Download > spuntiamo la voce Chiedi dove salvare il file prima di scaricarlo
Via: BleepingComputer.com