Malware Quantum Builder

Pesquisadores de segurança da Cyble publicaram um novo relatório sobre o aumento de malware usando arquivos de atalho .lnk para entregar sua carga útil final. Um destaque do relatório foi um construtor de arquivos .lnk chamado Quantum.

O Quantum é vendido em fóruns de hackers, como serviço de assinatura ou como pagamento único para uso vitalício. Uma assinatura mensal custa cerca de 190 euros e uma compra única custa 1500 euros.

O malware afirma ter a capacidade de falsificar qualquer extensão de arquivo legítima e vem com 300 tipos de ícones diferentes. Os materiais de publicidade postados pelos autores do malware também afirmam que o Quantum pode descartar a carga útil final em qualquer diretório no sistema da vítima e executá-la na inicialização do sistema ou após um atraso predefinido, usando o Powershell para executar a carga útil com privilégios de conta de administrador.

Cyble apontou que, nas configurações padrão, o Windows ocultará a extensão .lnk, portanto, se o nome do arquivo for "document.txt.lnk", o arquivo aparecerá como "document.txt". No entanto, esse pequeno truque ainda mantém o pequeno ícone de atalho no canto inferior esquerdo do ícone do arquivo.

Os pesquisadores também encontraram uma possível ligação entre o malware Quantum e o grupo Lazarus APT. As instruções de desobstrução e a maneira como as variáveis são inicializadas foram essencialmente as mesmas entre uma amostra usada pelo Lazarus e outra usando o construtor Quantum.