Quantum Builder malware

I ricercatori di sicurezza con Cyble hanno pubblicato un nuovo rapporto sull'aumento del malware che utilizza i file di collegamento .lnk per fornire il loro carico utile finale. Uno dei punti salienti del rapporto è stato un generatore di file .lnk chiamato Quantum.

Quantum viene venduto sui forum degli hacker, come servizio di abbonamento o come pagamento una tantum per l'uso a vita. Un abbonamento mensile costa circa 190 EUR e un acquisto una tantum è di ben 1500 EUR.

Il malware afferma di avere la capacità di falsificare qualsiasi estensione di file legittima e viene fornito con 300 diversi tipi di icone. Il materiale pubblicitario pubblicato dagli autori del malware afferma inoltre che Quantum può rilasciare il payload finale in qualsiasi directory sul sistema della vittima ed eseguirlo all'avvio del sistema o dopo un ritardo preimpostato, utilizzando Powershell per eseguire il payload con i privilegi dell'account amministratore.

Cyble ha sottolineato che con le impostazioni predefinite, Windows nasconderà l'estensione .lnk, quindi se il nome del file è "document.txt.lnk" il file verrà visualizzato come "document.txt". Tuttavia, quel piccolo trucco mantiene ancora la piccola icona di collegamento in basso a sinistra dell'icona del file.

I ricercatori hanno anche trovato un possibile collegamento tra il malware Quantum e il gruppo Lazarus APT. Le istruzioni di deoffuscamento e il modo in cui le variabili vengono inizializzate erano essenzialmente le stesse tra un campione utilizzato da Lazarus e uno che utilizzava il builder Quantum.