Quantum Builder-malware
Beveiligingsonderzoekers met Cyble hebben een nieuw rapport gepubliceerd over de opkomst van malware die .lnk-snelkoppelingsbestanden gebruikt om hun uiteindelijke lading te leveren. Een hoogtepunt van het rapport was een .lnk-bestandsbouwer genaamd Quantum.
Quantum wordt verkocht op hackerforums, als abonnementsservice of als eenmalige betaling voor levenslang gebruik. Een maandelijks abonnement kost ongeveer 190 EUR en een eenmalige aankoop is maar liefst 1500 EUR.
De malware beweert de mogelijkheid te hebben om elke legitieme bestandsextensie te vervalsen en wordt geleverd met 300 verschillende pictogramtypen. Het advertentiemateriaal dat door de auteurs van de malware is gepost, claimt ook dat Quantum de uiteindelijke payload in elke map op het slachtoffersysteem kan laten vallen en deze kan uitvoeren bij het opstarten van het systeem of na een vooraf ingestelde vertraging, waarbij Powershell wordt gebruikt om de payload uit te voeren met beheerdersaccountrechten.
Cyble wees erop dat Windows onder de standaardinstellingen de .lnk-extensie zal verbergen, dus als de bestandsnaam "document.txt.lnk" is, wordt het bestand weergegeven als "document.txt". Die kleine truc houdt echter nog steeds het kleine snelkoppelingspictogram linksonder op het pictogram van het bestand.
De onderzoekers vonden ook een mogelijk verband tussen de Quantum-malware en de Lazarus-groep APT. De deobfuscatie-instructies en de manier waarop variabelen worden geïnitialiseerd, waren in wezen hetzelfde voor een voorbeeld dat door Lazarus werd gebruikt en een voorbeeld dat de Quantum-builder gebruikte.