Quantum Builder 恶意软件
Cyble 的安全研究人员发布了一份关于使用 .lnk 快捷方式文件传递其最终有效负载的恶意软件兴起的新报告。该报告的一个亮点是一个名为 Quantum 的 .lnk 文件生成器。
Quantum 在黑客论坛上出售,作为订阅服务,或作为终身使用的一次性付款。每月订阅费用约为 190 欧元,一次性购买费用高达 1500 欧元。
该恶意软件声称能够欺骗任何合法的文件扩展名,并附带 300 种不同的图标类型。恶意软件作者发布的广告材料还声称,Quantum 可以将最终有效负载放在受害系统的任何目录中,并在系统启动时或在预设延迟后执行,使用 Powershell 以管理员帐户权限运行有效负载。
Cyble 指出,在默认设置下,Windows 会隐藏 .lnk 扩展名,因此如果文件名为“document.txt.lnk”,则文件将显示为“document.txt”。但是,这个小技巧仍然保留了文件图标左下角的小快捷方式图标。
研究人员还发现了 Quantum 恶意软件与 Lazarus group APT 之间的可能联系。 Lazarus 使用的样本和使用 Quantum 构建器的样本之间的去混淆指令和变量初始化方式基本相同。