Malware constructor cuántico

Los investigadores de seguridad de Cyble publicaron un nuevo informe sobre el aumento de malware que utiliza archivos de acceso directo .lnk para entregar su carga útil final. Un aspecto destacado del informe fue un generador de archivos .lnk llamado Quantum.

Quantum se vende en foros de piratas informáticos, como servicio de suscripción o como pago único para uso de por vida. Una suscripción mensual cuesta alrededor de 190 EUR y una compra única es la friolera de 1500 EUR.

El malware afirma tener la capacidad de falsificar cualquier extensión de archivo legítima y viene empaquetado con 300 tipos de iconos diferentes. Los materiales publicitarios publicados por los autores del malware también afirman que Quantum puede colocar la carga útil final en cualquier directorio del sistema de la víctima y ejecutarla al iniciar el sistema o después de un retraso preestablecido, utilizando Powershell para ejecutar la carga útil con privilegios de cuenta de administrador.

Cyble señaló que en la configuración predeterminada, Windows ocultará la extensión .lnk, por lo que si el nombre del archivo es "document.txt.lnk", el archivo aparecerá como "document.txt". Sin embargo, ese pequeño truco aún mantiene el pequeño icono de acceso directo en la parte inferior izquierda del icono del archivo.

Los investigadores también encontraron un posible vínculo entre el malware Quantum y el APT del grupo Lazarus. Las instrucciones de desofuscación y la forma en que se inicializan las variables fueron esencialmente las mismas entre una muestra utilizada por Lazarus y una que utiliza el constructor Quantum.