Quantum Builder-Malware

Sicherheitsforscher von Cyble haben einen neuen Bericht über den Aufstieg von Malware veröffentlicht, die .lnk-Verknüpfungsdateien verwendet, um ihre endgültige Nutzlast zu liefern. Ein Highlight des Berichts war ein .lnk-Dateiersteller namens Quantum.

Quantum wird in Hackerforen, als Abonnementdienst oder als einmalige Zahlung für die lebenslange Nutzung verkauft. Ein monatliches Abonnement kostet rund 190 EUR und ein einmaliger Kauf satte 1500 EUR.

Die Malware behauptet, in der Lage zu sein, jede legitime Dateierweiterung zu fälschen, und wird mit 300 verschiedenen Symboltypen geliefert. Die von den Autoren der Malware geposteten Werbematerialien behaupten auch, dass Quantum die endgültige Nutzlast in jedem Verzeichnis auf dem Opfersystem ablegen und entweder beim Systemstart oder nach einer voreingestellten Verzögerung ausführen kann, indem Powershell verwendet wird, um die Nutzlast mit Administratorkontorechten auszuführen.

Cyble wies darauf hin, dass Windows unter den Standardeinstellungen die Erweiterung .lnk verbirgt, wenn also der Dateiname „document.txt.lnk“ lautet, wird die Datei als „document.txt“ angezeigt. Dieser kleine Trick behält jedoch immer noch das kleine Verknüpfungssymbol unten links im Symbol der Datei bei.

Die Forscher fanden auch eine mögliche Verbindung zwischen der Quantum-Malware und der Lazarus-Gruppe APT. Die Offenlegungsanweisungen und die Art und Weise, wie Variablen initialisiert werden, waren bei einem von Lazarus verwendeten Beispiel und einem mit dem Quantum-Builder im Wesentlichen gleich.