Quantum Builder Malware
Säkerhetsforskare med Cyble publicerade en ny rapport om uppkomsten av skadlig programvara som använder .lnk-genvägsfiler för att leverera sin slutliga nyttolast. En höjdpunkt i rapporten var en .lnk-filbyggare som heter Quantum.
Quantum säljs på hackerforum, som en prenumerationstjänst eller som en engångsbetalning för livstidsanvändning. Ett månatligt abonnemang kostar cirka 190 EUR och ett engångsköp kostar hela 1500 EUR.
Skadlig programvara påstår sig ha förmågan att förfalska alla legitima filtillägg och kommer med 300 olika ikontyper. Annonsmaterialet som publicerats av skadlig programvaras författare hävdar också att Quantum kan släppa den slutliga nyttolasten i vilken katalog som helst på offrets system och köra den antingen vid systemstart eller efter en förinställd fördröjning, med hjälp av Powershell för att köra nyttolasten med administratörskontobehörigheter.
Cyble påpekade att under standardinställningarna kommer Windows att dölja tillägget .lnk, så om filnamnet är "document.txt.lnk" kommer filen att visas som "document.txt". Men det lilla tricket behåller fortfarande den lilla genvägsikonen längst ner till vänster på filens ikon.
Forskarna hittade också en möjlig koppling mellan Quantum malware och Lazarus-gruppen APT. Deobfuskationsinstruktionerna och sättet på vilket variabler initieras var i huvudsak desamma mellan ett prov som användes av Lazarus och ett som använder Quantum-byggaren.