Вредоносное ПО Quantum Builder
Исследователи безопасности из Cyble опубликовали новый отчет о росте числа вредоносных программ, использующих ярлыки .lnk для доставки своей окончательной полезной нагрузки. Одним из основных моментов отчета был конструктор файлов .lnk под названием Quantum.
Quantum продается на хакерских форумах, по подписке или в виде единовременной оплаты на всю жизнь. Ежемесячная подписка стоит около 190 евро, а разовая покупка — колоссальные 1500 евро.
Утверждается, что вредоносная программа способна подделать любое законное расширение файла и поставляется с 300 различными типами значков. В рекламных материалах, размещенных авторами вредоносного ПО, также утверждается, что Quantum может сбросить финальную полезную нагрузку в любой каталог системы-жертвы и выполнить ее либо при запуске системы, либо после заранее установленной задержки, используя Powershell для запуска полезной нагрузки с правами учетной записи администратора.
Cyble указал, что при настройках по умолчанию Windows будет скрывать расширение .lnk, поэтому, если имя файла «document.txt.lnk», файл будет отображаться как «document.txt». Тем не менее, этот маленький трюк по-прежнему сохраняет крошечный значок ярлыка в левом нижнем углу значка файла.
Исследователи также обнаружили возможную связь между вредоносным ПО Quantum и APT группы Lazarus. Инструкции по деобфускации и способ инициализации переменных практически не отличались между образцом, используемым Lazarus, и образцом, использующим Quantum Builder.