Złośliwe oprogramowanie Quantum Builder
Badacze bezpieczeństwa z Cyble opublikowali nowy raport na temat wzrostu liczby złośliwego oprogramowania wykorzystującego pliki skrótów .lnk w celu dostarczenia ich ostatecznej zawartości. Jednym z najważniejszych punktów raportu był program do tworzenia plików .lnk o nazwie Quantum.
Quantum jest sprzedawane na forach hakerskich, jako usługa subskrypcji lub jako jednorazowa płatność za dożywotnie użytkowanie. Miesięczna subskrypcja kosztuje około 190 EUR, a jednorazowy zakup to aż 1500 EUR.
Złośliwe oprogramowanie twierdzi, że może sfałszować dowolne legalne rozszerzenie pliku i jest dostarczane z 300 różnymi typami ikon. Materiały reklamowe opublikowane przez autorów szkodliwego oprogramowania twierdzą również, że Quantum może upuścić ostateczny ładunek w dowolnym katalogu w systemie ofiary i uruchomić go podczas uruchamiania systemu lub po ustalonym opóźnieniu, używając Powershell do uruchomienia ładunku z uprawnieniami konta administratora.
Cyble zwrócił uwagę, że przy domyślnych ustawieniach system Windows ukryje rozszerzenie .lnk, więc jeśli nazwa pliku to „document.txt.lnk”, plik pojawi się jako „document.txt”. Jednak ta mała sztuczka nadal utrzymuje małą ikonę skrótu w lewym dolnym rogu ikony pliku.
Badacze odkryli również możliwy związek między złośliwym oprogramowaniem Quantum a grupą Lazarus APT. Instrukcje dezaciemniania i sposób, w jaki zmienne są inicjowane, były zasadniczo takie same w próbce używanej przez Lazarusa i próbce wykorzystującej Quantum builder.