Quantum Builder rosszindulatú program

A Cyble biztonsági kutatói új jelentést tettek közzé a rosszindulatú programok terjedéséről, amelyek .lnk parancsikon fájlokat használnak végső hasznos terhelésük továbbítására. A jelentés egyik fénypontja a Quantum nevű .lnk fájlkészítő volt.

A Quantumot hackerfórumokon, előfizetéses szolgáltatásként vagy egyszeri fizetésként árusítják az élethosszig tartó használatért. A havi előfizetés körülbelül 190 euróba kerül, egyszeri vásárlás pedig óriási 1500 euróba kerül.

A rosszindulatú program azt állítja, hogy képes bármilyen legitim fájlkiterjesztés meghamisítására, és 300 különböző ikontípussal érkezik. A kártevő szerzői által közzétett reklámanyagok azt is állítják, hogy a Quantum az áldozat rendszer bármely könyvtárába képes leadni a végső hasznos terhet, és végrehajtani akár a rendszer indításakor, akár egy előre beállított késleltetés után, a Powershell segítségével adminisztrátori fiókjogokkal.

Cyble rámutatott, hogy az alapértelmezett beállítások mellett a Windows elrejti az .lnk kiterjesztést, így ha a fájl neve "document.txt.lnk", a fájl "document.txt" néven jelenik meg. Ez a kis trükk azonban továbbra is megtartja az apró parancsikont a fájl ikonjának bal alsó sarkában.

A kutatók egy lehetséges kapcsolatot is találtak a Quantum malware és a Lazarus csoport APT között. A deobfuszkálási utasítások és a változók inicializálásának módja lényegében megegyezett a Lazarus által használt minta és a Quantum buildert használó minta esetében.