Investigadores de ciberseguridad detectaron una nueva herramienta de malware que ayuda a los actores de amenazas a crear archivos de acceso directo de Windows maliciosos, conocidos como archivos .LNK.
Quantum LNK Builder y el uso de archivos .lnk
Apodado Quantum Lnk Builder, la herramienta se ofrece actualmente a la venta en metro, foros de ciberdelincuencia. El precio depende del plan de suscripción.: 189 € al mes, 355 € por dos meses, 899 € por seis meses, o 1.500 € para una compra de por vida.
Los investigadores de Cyble han observado un aumento en el uso de archivos .lnk por parte de varias familias de malware., Incluido Emmott, Abejorro, Qbot, y helado. Muchos actores de APT también aprovechan estos archivos para la ejecución inicial para entregar la carga útil final..
¿Qué son los archivos .lnk??
“Los archivos .lnk son archivos de acceso directo que hacen referencia a otros archivos, carpetas, o aplicaciones para abrirlos. Los TA [actores de amenazas] aprovecha los archivos .lnk y elimina las cargas útiles maliciosas mediante LOLBins. LOLBins (Viviendo de los binarios de la tierra) son binarios que son nativos de los sistemas operativos como PowerShell y mshta. Los TA pueden usar este tipo de binarios para evadir los mecanismos de detección, ya que los sistemas operativos confían en estos binarios.,”Explicaron los investigadores.
Cabe destacar que Windows oculta la extensión .lnk por defecto. Si un archivo se llama file_name.txt.lnk, entonces solo file_name.txt será visible para el usuario, incluso si la opción Mostrar extensión de archivo está habilitada, el informe explicado. Estas son las razones por las que los actores de amenazas comenzarían a usar archivos .lnk – “como disfraz o cortina de humo”.
El nuevo generador de malware Quantum probablemente esté asociado con el infame Grupo Lazarus, como es evidente por las superposiciones en el código fuente de la herramienta y el modus operandi del grupo de amenazas. Se sabe que los piratas informáticos de Lazarus aprovechan los archivos .lnk para entregar cargas útiles en etapas posteriores, el informe célebre.
Los actores de amenazas detrás del constructor Quantum están actualizando su herramienta con nuevas técnicas de ataque., haciéndolo más lucrativo para otros ciberdelincuentes. Los investigadores esperan ver un mayor uso de constructores similares en sus arsenales de ataque..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: