Cybersicherheitsforscher haben ein neues Malware-Tool entdeckt, das Angreifern dabei hilft, bösartige Windows-Verknüpfungsdateien zu erstellen, bekannt als .LNK-Dateien.
Quantum LNK Builder und die Verwendung von .lnk-Dateien
Genannter Quantum Lnk Builder, Das Tool wird derzeit auf Underground zum Verkauf angeboten, Cybercrime-Foren. Der Preis hängt vom Abonnementplan ab: 189 € im Monat, 355 € für zwei Monate, 899 € für sechs Monate, oder 1.500 € für einen lebenslangen Kauf.
Cyble-Forscher haben einen Anstieg der Verwendung von .lnk-Dateien durch mehrere Malware-Familien beobachtet, Inklusive Emmott, Hummel, Qbot, und Icedid. Viele APT-Akteure nutzen diese Dateien auch für die anfängliche Ausführung, um die endgültige Nutzlast zu liefern.
Was sind .lnk-Dateien??
„.lnk-Dateien sind Verknüpfungsdateien, die auf andere Dateien verweisen, Ordner, oder Anwendungen, um sie zu öffnen. Die TAs [Bedrohungsakteure] nutzt die .lnk-Dateien und löscht bösartige Payloads mit LOLBins. LOLBins (Von den Land-Binärdateien leben) sind Binärdateien, die für Betriebssysteme wie PowerShell und mshta nativ sind. TAs können diese Arten von Binärdateien verwenden, um Erkennungsmechanismen zu umgehen, da diese Binärdateien von Betriebssystemen als vertrauenswürdig eingestuft werden,“Die Forscher erklärt.
Es ist bemerkenswert, dass Windows die Erweiterung .lnk standardmäßig ausblendet. Wenn eine Datei den Namen file_name.txt.lnk hat, dann ist nur file_name.txt für den Benutzer sichtbar, selbst wenn die Option zum Anzeigen der Dateierweiterung aktiviert ist, der Bericht erklärt. Dies sind die Gründe, warum Angreifer anfangen würden, .lnk-Dateien zu verwenden – „als Verkleidung oder Nebelwand.“
Der neue Malware-Builder Quantum wird höchstwahrscheinlich mit der berüchtigten Lazarus Group in Verbindung gebracht, wie aus Überschneidungen im Quellcode des Tools und der Vorgehensweise der Bedrohungsgruppe hervorgeht. Es ist bekannt, dass Lazarus-Hacker .lnk-Dateien nutzen, um weitere Nutzlasten zu liefern, der Bericht bekannt.
Die Bedrohungsakteure hinter dem Quantum Builder aktualisieren ihr Tool mit neuen Angriffstechniken, was es für andere Cyberkriminelle lukrativer macht. Die Forscher erwarten einen verstärkten Einsatz ähnlicher Builder in ihren Angriffsarsenalen.