Quantum Builder Malware

Sikkerhedsforskere med Cyble offentliggjorde en ny rapport om stigningen i malware, der bruger .lnk-genvejsfiler til at levere deres endelige nyttelast. Et højdepunkt i rapporten var en .lnk-filbygger kaldet Quantum.

Quantum sælges på hackerfora, som en abonnementstjeneste eller som en engangsbetaling for livslang brug. Et månedligt abonnement koster omkring 190 EUR, og et engangskøb koster hele 1500 EUR.

Malwaren hævder at have evnen til at forfalske enhver legitim filtypenavn og leveres pakket med 300 forskellige ikontyper. Annoncematerialet, der er indsendt af malwarens forfattere, hævder også, at Quantum kan droppe den endelige nyttelast i en hvilken som helst mappe på offersystemet og udføre den enten ved systemstart eller efter en forudindstillet forsinkelse ved at bruge Powershell til at køre nyttelasten med administratorrettigheder.

Cyble påpegede, at under standardindstillingerne vil Windows skjule .lnk-udvidelsen, så hvis filnavnet er "document.txt.lnk", vil filen vises som "document.txt". Det lille trick beholder dog stadig det lille genvejsikon nederst til venstre på filens ikon.

Forskerne fandt også en mulig sammenhæng mellem Quantum-malwaren og Lazarus-gruppen APT. Deobfuskationsinstruktionerne og den måde, hvorpå variabler initialiseres, var i det væsentlige de samme mellem en prøve, der blev brugt af Lazarus, og en, der brugte Quantum-builderen.