Pesquisadores de segurança cibernética detectaram uma nova ferramenta de malware que ajuda os agentes de ameaças a criar arquivos de atalho maliciosos do Windows, conhecidos como arquivos .LNK.
Quantum LNK Builder e o uso de arquivos .lnk
Apelidado de Quantum Lnk Builder, a ferramenta está sendo oferecida para venda no subsolo, fóruns de crimes cibernéticos. O preço depende do plano de assinatura: 189€ por mês, 355€ por dois meses, 899€ por seis meses, ou € 1.500 para uma compra vitalícia.
Os pesquisadores da Cyble têm observado um aumento no uso de arquivos .lnk por várias famílias de malware, Incluindo Emotet, Abelha, Qbot, e Icedid. Muitos atores do APT também aproveitam esses arquivos para execução inicial para entregar a carga útil final.
O que são arquivos .lnk?
“Arquivos .lnk são arquivos de atalho que fazem referência a outros arquivos, pastas, ou aplicativos para abri-los. Os ATs [atores de ameaças] aproveita os arquivos .lnk e elimina cargas maliciosas usando LOLBins. LOLBins (Vivendo dos binários terrestres) são binários nativos de sistemas operacionais, como PowerShell e mshta. Os TAs podem usar esses tipos de binários para evitar mecanismos de detecção, pois esses binários são confiáveis pelos sistemas operacionais,”Explicaram os pesquisadores.
Vale ressaltar que o Windows oculta a extensão .lnk por padrão. Se um arquivo for nomeado como file_name.txt.lnk, então somente file_name.txt ficará visível para o usuário mesmo se a opção show file extension estiver habilitada, o relatório explicou. Esses são os motivos pelos quais os agentes de ameaças começariam a usar arquivos .lnk – “como disfarce ou cortina de fumaça”.
O novo construtor de malware Quantum provavelmente está associado ao infame Lazarus Group, como é evidente pelas sobreposições no código-fonte na ferramenta e no modus operandi do grupo de ameaças. Os hackers do Lazarus são conhecidos por usar arquivos .lnk para entregar mais cargas úteis de estágio, o relatório notado.
Os agentes de ameaças por trás do construtor Quantum estão atualizando sua ferramenta com novas técnicas de ataque, tornando-o mais lucrativo para outros cibercriminosos. Os pesquisadores esperam ver um aumento no uso de construtores semelhantes em seus arsenais de ataque.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: