I ricercatori della sicurezza informatica hanno rilevato un nuovo strumento malware che aiuta gli attori delle minacce a creare file di collegamento di Windows dannosi, noti come file .LNK.
Quantum LNK Builder e l'uso di file .lnk
Soprannominato Quantum Lnk Builder, lo strumento è attualmente messo in vendita nel sottosuolo, forum sulla criminalità informatica. Il prezzo dipende dal piano di abbonamento: 189€ al mese, 355€ per due mesi, € 899 per sei mesi, o € 1.500 per un acquisto a vita.
I ricercatori Cyble hanno osservato un aumento nell'uso di file .lnk da parte di diverse famiglie di malware, Compreso Emmott, Bombo, Qbot, e Icedid. Molti attori APT sfruttano anche questi file per l'esecuzione iniziale per fornire il payload finale.
Cosa sono i file .lnk?
“I file .lnk sono file di collegamento che fanno riferimento ad altri file, cartelle, o applicazioni per aprirli. Le AT [attori della minaccia] sfrutta i file .lnk e elimina i payload dannosi utilizzando LOLBins. LOLBins (Vivere dei binari della terra) sono file binari nativi di sistemi operativi come PowerShell e mshta. I TA possono utilizzare questi tipi di binari per eludere i meccanismi di rilevamento poiché questi binari sono considerati affidabili dai sistemi operativi,”Hanno spiegato i ricercatori.
È interessante notare che Windows nasconde l'estensione .lnk per impostazione predefinita. Se un file è denominato come nome_file.txt.lnk, quindi solo file_name.txt sarà visibile all'utente anche se l'opzione mostra estensione file è abilitata, il rapporto ha spiegato. Questi sono i motivi per cui gli attori delle minacce inizierebbero a utilizzare i file .lnk – "come travestimento o cortina fumogena".
Il nuovo generatore di malware Quantum è molto probabilmente associato al famigerato Lazarus Group, come evidente dalle sovrapposizioni nel codice sorgente nello strumento e nel modus operandi del gruppo di minacce. È noto che gli hacker di Lazarus sfruttano i file .lnk per fornire payload a fasi successive, il rapporto noto.
Gli attori delle minacce dietro il Quantum builder stanno aggiornando il loro strumento con nuove tecniche di attacco, rendendolo più redditizio per altri criminali informatici. I ricercatori si aspettano di vedere un maggiore uso di costruttori simili nei loro arsenali di attacco.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: