Cybersikkerhedsforskere opdagede et nyt malwareværktøj, der hjælper trusselsaktører med at bygge ondsindede Windows-genvejsfiler, kendt som .LNK-filer.
Quantum LNK Builder og brugen af .lnk-filer
Døbt Quantum Lnk Builder, værktøjet udbydes i øjeblikket til salg i undergrunden, fora for cyberkriminalitet. Prisen afhænger af abonnementsplanen: 189 € om måneden, 355 € for to måneder, 899 € for seks måneder, eller €1.500 for et livslangt køb.
Cyble-forskere har observeret en stigning i brugen af .lnk-filer i flere malware-familier, Herunder Emmott, Humlebi, Qbot, og Icedid. Mange APT-aktører udnytter også disse filer til indledende udførelse for at levere den endelige nyttelast.
Hvad er .lnk-filer?
".lnk-filer er genvejsfiler, der refererer til andre filer, mapper, eller programmer for at åbne dem. TA'erne [trusselsaktører] udnytter .lnk-filerne og dropper ondsindede nyttelaster ved hjælp af LOLBins. LOLBins (At leve af Land Binaries) er binære filer, der er hjemmehørende i operativsystemer såsom PowerShell og mshta. TA'er kan bruge disse typer binære filer til at undgå detekteringsmekanismer, da disse binære filer er tillid til af operativsystemer,”Forskerne forklarede.
Det er bemærkelsesværdigt, at Windows skjuler .lnk-udvidelsen som standard. Hvis en fil er navngivet som file_name.txt.lnk, så vil kun file_name.txt være synlig for brugeren, selvom indstillingen vis filtypenavn er aktiveret, rapporten forklaret. Dette er grundene til, at trusselsaktører ville begynde at bruge .lnk-filer – "som forklædning eller røgslør."
Den nye Quantum malware builder er højst sandsynligt forbundet med den berygtede Lazarus Group, som det fremgår af overlapninger i kildekoden i værktøjet og trusselsgruppens modus operandi. Lazarus-hackere har været kendt for at udnytte .lnk-filer til at levere yderligere fase-nyttelast, rapporten bemærkes.
Trusselsaktørerne bag Quantum-byggeren opdaterer deres værktøj med nye angrebsteknikker, gør det mere lukrativt for andre cyberkriminelle. Forskerne forventer at se en øget brug af lignende bygherrer i deres angrebsarsenaler.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: