Accueil > Nouvelles Cyber > Constructeur Quantum LNK: Nouvel outil de malware à vendre sur les forums souterrains
CYBER NOUVELLES

Constructeur de LNK quantique: Nouvel outil de malware à vendre sur les forums souterrains

Constructeur de LNK quantique: Nouvel outil de malware à vendre sur les forums souterrains

Des chercheurs en cybersécurité ont détecté un nouvel outil malveillant qui aide les pirates à créer des fichiers de raccourci Windows malveillants, connus sous le nom de fichiers .LNK.

Quantum LNK Builder et l'utilisation des fichiers .lnk

Surnommé Quantum Lnk Builder, l'outil est actuellement proposé à la vente sur underground, forums sur la cybercriminalité. Le prix dépend du plan d'abonnement: 189 € par mois, 355 € pour deux mois, 899 € pour six mois, ou 1 500 € pour un achat à vie.




Les chercheurs de Cyble ont observé une augmentation de l'utilisation des fichiers .lnk par plusieurs familles de logiciels malveillants, Y compris Emmott, Bourdon, Qbot, et Icedid. De nombreux acteurs APT exploitent également ces fichiers pour l'exécution initiale afin de fournir la charge utile finale.

Que sont les fichiers .lnk?
"Les fichiers .lnk sont des fichiers de raccourci qui référencent d'autres fichiers, dossiers, ou des applications pour les ouvrir. Les TA [acteurs de la menace] exploite les fichiers .lnk et supprime les charges utiles malveillantes à l'aide de LOLBins. LOLBins (Vivre de la Terre Binaires) sont des binaires natifs des systèmes d'exploitation tels que PowerShell et mshta. Les TA peuvent utiliser ces types de binaires pour échapper aux mécanismes de détection car ces binaires sont approuvés par les systèmes d'exploitation,» Les chercheurs ont expliqué.

Il est à noter que Windows masque l'extension .lnk par défaut. Si un fichier est nommé nom_fichier.txt.lnk, alors seul file_name.txt sera visible pour l'utilisateur même si l'option show file extension est activée, le rapport a expliqué. Ce sont les raisons pour lesquelles les pirates commenceraient à utiliser les fichiers .lnk – "comme un déguisement ou un écran de fumée."

Le nouveau constructeur de logiciels malveillants Quantum est très probablement associé au tristement célèbre groupe Lazarus, comme en témoignent les chevauchements dans le code source de l'outil et le modus operandi du groupe de menaces. Les pirates Lazarus sont connus pour exploiter les fichiers .lnk pour fournir des charges utiles d'étape ultérieure, le rapport c'est noté.

Les acteurs de la menace derrière le constructeur Quantum mettent à jour leur outil avec de nouvelles techniques d'attaque, le rendant plus lucratif pour les autres cybercriminels. Les chercheurs s'attendent à voir une utilisation accrue de constructeurs similaires dans leurs arsenaux d'attaque.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord