Logiciel malveillant Quantum Builder
Les chercheurs en sécurité de Cyble ont publié un nouveau rapport sur la montée des logiciels malveillants utilisant des fichiers de raccourci .lnk pour fournir leur charge utile finale. L'un des points forts du rapport était un générateur de fichiers .lnk appelé Quantum.
Quantum est vendu sur les forums de hackers, sous forme de service d'abonnement ou sous forme de paiement unique pour une utilisation à vie. Un abonnement mensuel coûte environ 190 EUR et un achat unique coûte 1 500 EUR.
Le logiciel malveillant prétend avoir la capacité d'usurper n'importe quelle extension de fichier légitime et est livré avec 300 types d'icônes différents. Les supports publicitaires publiés par les auteurs du logiciel malveillant affirment également que Quantum peut déposer la charge utile finale dans n'importe quel répertoire du système victime et l'exécuter soit au démarrage du système, soit après un délai prédéfini, en utilisant Powershell pour exécuter la charge utile avec les privilèges du compte administrateur.
Cyble a souligné que dans les paramètres par défaut, Windows masquera l'extension .lnk, donc si le nom de fichier est "document.txt.lnk", le fichier apparaîtra comme "document.txt". Cependant, cette petite astuce conserve toujours la petite icône de raccourci en bas à gauche de l'icône du fichier.
Les chercheurs ont également trouvé un lien possible entre le malware Quantum et le groupe Lazarus APT. Les instructions de désobscurcissement et la manière dont les variables sont initialisées étaient essentiellement les mêmes entre un échantillon utilisé par Lazarus et un autre utilisant le constructeur Quantum.