„Quantum Builder“ kenkėjiška programa

Saugumo tyrinėtojai su „Cyble“ paskelbė naują ataskaitą apie kenkėjiškų programų augimą, naudojant .lnk nuorodų failus, kad būtų galima pateikti galutinę naudingąją apkrovą. Vienas iš svarbiausių ataskaitos akcentų buvo .lnk failų kūrimo priemonė Quantum.

Quantum parduodamas įsilaužėlių forumuose, kaip prenumeratos paslauga arba kaip vienkartinis mokėjimas už naudojimąsi visą gyvenimą. Mėnesinis abonementas kainuoja apie 190 EUR, o vienkartinis pirkimas – 1500 EUR.

Teigiama, kad kenkėjiška programa gali suklastoti bet kokį teisėtą failo plėtinį ir yra supakuota su 300 skirtingų piktogramų tipų. Kenkėjiškos programos autorių paskelbtoje reklaminėje medžiagoje taip pat teigiama, kad „Quantum“ gali numesti galutinę naudingąją apkrovą bet kuriame aukos sistemos kataloge ir vykdyti ją paleidus sistemą arba po iš anksto nustatyto delsos, naudodamas „Powershell“, kad paleisti naudingąją apkrovą su administratoriaus paskyros teisėmis.

Cyble nurodė, kad pagal numatytuosius nustatymus „Windows“ paslėps .lnk plėtinį, taigi, jei failo pavadinimas yra „document.txt.lnk“, failas bus rodomas kaip „document.txt“. Tačiau šis mažas triukas vis dar išlaiko mažą nuorodos piktogramą failo piktogramos apačioje, kairėje.

Tyrėjai taip pat nustatė galimą ryšį tarp Quantum kenkėjiškų programų ir Lazarus grupės APT. Debfuskavimo instrukcijos ir kintamųjų inicijavimo būdas iš esmės buvo vienodi Lazarus naudojamuose pavyzdžiuose ir naudojant Quantum builder.