サイバーセキュリティの研究者は、攻撃者が悪意のあるWindowsショートカットファイルを作成するのに役立つ新しいマルウェアツールを検出しました, .LNKファイルとして知られています.
QuantumLNKBuilderと.lnkファイルの使用
吹き替えQuantumLnkBuilder, ツールは現在、地下で販売されています, サイバー犯罪フォーラム. 料金はサブスクリプションプランによって異なります: 月額189ユーロ, 2か月で355ユーロ, 6か月間899ユーロ, または生涯購入の場合は€1,500.
Cybleの研究者は、いくつかのマルウェアファミリーによる.lnkファイルの使用の急増を観察しています。, 含む Emotet, マルハナバチ, Qbot, とIcedid. 多くのAPTアクターは、これらのファイルを最初の実行に活用して、最終的なペイロードを配信します.
.lnkファイルとは?
「.lnkファイルは、他のファイルを参照するショートカットファイルです, フォルダ, またはそれらを開くためのアプリケーション. TA [脅威アクター] .lnkファイルを活用し、LOLBinsを使用して悪意のあるペイロードをドロップします. LOLBins (土地のバイナリから離れて生活する) PowerShellやmshtaなどのオペレーティングシステムにネイティブなバイナリです. これらのバイナリはオペレーティングシステムによって信頼されているため、TAはこれらのタイプのバイナリを使用して検出メカニズムを回避できます。,」研究者は説明した.
Windowsがデフォルトで.lnk拡張子を非表示にしていることは注目に値します. ファイルの名前がfile_name.txt.lnkの場合, その場合、ファイル拡張子の表示オプションが有効になっている場合でも、file_name.txtのみがユーザーに表示されます。, レポートは説明しました. これらが、脅威アクターが.lnkファイルの使用を開始する理由です。 – 「変装または煙幕として。」
新しいQuantumマルウェアビルダーは、悪名高いLazarusGroupに関連している可能性があります, ツールのソースコードと脅威グループの手口の重複から明らかなように. Lazarusハッカーは、.lnkファイルを利用してさらなるステージペイロードを配信することが知られています, レポート 了解しました.
クォンタムビルダーの背後にいる脅威アクターは、新しい攻撃手法でツールを更新しています, 他のサイバー犯罪者にとってより儲かる. 研究者たちは、攻撃兵器で同様のビルダーの使用が増えることを期待しています.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: