Quantum Builder 惡意軟件
Cyble 的安全研究人員發布了一份關於使用 .lnk 快捷方式文件傳遞其最終有效負載的惡意軟件興起的新報告。該報告的一個亮點是一個名為 Quantum 的 .lnk 文件生成器。
Quantum 在黑客論壇上出售,作為訂閱服務,或作為終身使用的一次性付款。每月訂閱費用約為 190 歐元,一次性購買費用高達 1500 歐元。
該惡意軟件聲稱能夠欺騙任何合法的文件擴展名,並附帶 300 種不同的圖標類型。惡意軟件作者發布的廣告材料還聲稱,Quantum 可以將最終的有效負載放在受害系統上的任何目錄中,並在系統啟動時或預設延遲後執行,使用 Powershell 以管理員帳戶權限運行有效負載。
Cyble 指出,在默認設置下,Windows 將隱藏 .lnk 擴展名,因此如果文件名為“document.txt.lnk”,則文件將顯示為“document.txt”。但是,這個小技巧仍然保留了文件圖標左下角的小快捷方式圖標。
研究人員還發現了 Quantum 惡意軟件與 Lazarus group APT 之間的可能聯繫。 Lazarus 使用的樣本和使用 Quantum 構建器的樣本之間的去混淆指令和變量初始化方式基本相同。