Cybersecurity-onderzoekers hebben een nieuwe malwaretool ontdekt die dreigingsactoren helpt kwaadaardige Windows-snelkoppelingsbestanden te maken, bekend als .LNK-bestanden.
Quantum LNK Builder en het gebruik van .lnk-bestanden
Nagesynchroniseerde Quantum Lnk Builder, de tool wordt momenteel te koop aangeboden op underground, cybercriminaliteitsforums. De prijs is afhankelijk van het abonnement: €189 per maand, € 355 voor twee maanden, € 899 voor zes maanden, of € 1.500 voor een levenslange aankoop.
Cyble-onderzoekers hebben een toename waargenomen in het gebruik van .lnk-bestanden door verschillende malwarefamilies, Inclusief Emmott, Hommel, Qbot, en Icedi. Veel APT-actoren maken ook gebruik van deze bestanden voor de eerste uitvoering om de uiteindelijke payload te leveren.
Wat zijn .lnk-bestanden?
".lnk-bestanden zijn snelkoppelingsbestanden die verwijzen naar andere bestanden, mappen, of applicaties om ze te openen. de TA's [dreigingsactoren] maakt gebruik van de .lnk-bestanden en laat kwaadaardige payloads vallen met LOLBins. LOLBins (Leven van de landbinaries) zijn binaire bestanden die eigen zijn aan besturingssystemen zoals PowerShell en mshta. TA's kunnen dit soort binaire bestanden gebruiken om detectiemechanismen te omzeilen, aangezien deze binaire bestanden worden vertrouwd door besturingssystemen,”De onderzoekers uitgelegd.
Het is opmerkelijk dat Windows de .lnk-extensie standaard verbergt. Als een bestand wordt genoemd als bestandsnaam.txt.lnk, dan is alleen bestandsnaam.txt zichtbaar voor de gebruiker, zelfs als de optie bestandsextensie weergeven is ingeschakeld, het rapport legde uit. Dit zijn de redenen waarom dreigingsactoren .lnk-bestanden zouden gaan gebruiken – "als vermomming of rookgordijn."
De nieuwe Quantum-malwarebouwer wordt hoogstwaarschijnlijk geassocieerd met de beruchte Lazarus Group, zoals blijkt uit overlappingen in de broncode in de tool en de modus operandi . van de bedreigingsgroep. Het is bekend dat Lazarus-hackers .lnk-bestanden gebruiken voor het leveren van verdere stage-payloads, het verslag bekend.
De bedreigingsactoren achter de Quantum-builder werken hun tool bij met nieuwe aanvalstechnieken, waardoor het lucratiever wordt voor andere cybercriminelen. De onderzoekers verwachten een toenemend gebruik van vergelijkbare bouwers in hun aanvalsarsenalen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: