Una nueva herramienta de malware que permite a los ciberdelincuentes crear accesos directos de Windows maliciosos (.LNK) se han visto archivos a la venta en foros de ciberdelincuencia.
Doblado Constructor de enlaces cuánticosel software permite falsificar cualquier extensión y elegir entre más de 300 íconos, sin mencionar el soporte UAC y Pantalla inteligente de Windows omitir así como «múltiples cargas útiles por archivo .LNK». También se ofrecen capacidades para generar cargas útiles .HTA e imagen de disco (.ISO).
Quantum Builder está disponible para arrendamiento a diferentes precios: 189 € al mes, 355 € por dos meses, 899 € por seis meses o como una compra única de por vida por 1500 €.
«Los archivos .LNK son archivos de acceso directo que hacen referencia a otros archivos, carpetas o aplicaciones para abrirlos», investigadores de Cyble dijo en un informe «Los [threat actor] aprovecha los archivos .LNK y elimina las cargas útiles maliciosas mediante LOLBins [living-off-the-land binaries].»
Se dice que las primeras pruebas de muestras de malware que utilizan Quantum Builder en la naturaleza se remontan al 24 de mayo y se hacen pasar por archivos de texto de apariencia inofensiva («test.txt.lnk»).
«De forma predeterminada, Windows oculta la extensión .LNK, por lo que si un archivo tiene el nombre file_name.txt.lnk, el usuario solo verá file_name.txt, incluso si la opción Mostrar extensión de archivo está habilitada», dijeron los investigadores. «Por tales razones, esta podría ser una opción atractiva para los TA, utilizando los archivos .LNK como disfraz o cortina de humo».
Al iniciar el archivo .LNK, se ejecuta el código de PowerShell que, a su vez, ejecuta un archivo de aplicación HTML («bdg.hta») alojado en el sitio web de Quantum («quantum-software[.]en línea») utilizando MSHTAuna utilidad legítima de Windows que se usa para ejecutar archivos HTA.
Se dice que Quantum Builder comparte vínculos con Lazarus Group, con sede en Corea del Norte, en función de las superposiciones de nivel de código fuente en la herramienta y el modus operandi de este último de aprovechar los archivos .LNK para entregar más cargas útiles en el escenario, lo que indica su uso potencial por parte de los actores de APT en su ataques
El desarrollo se produce cuando los operadores detrás de Bumblebee y Emotet están cambiando a archivos .LNK como un conducto para desencadenar las cadenas de infección luego de la decisión de Microsoft de deshabilitar las macros de Visual Basic para aplicaciones (VBA) de forma predeterminada en todos sus productos a principios de este año.
Bumblebee, un reemplazo del malware BazarLoader descubierto por primera vez en marzo, funciona como una puerta trasera diseñada para brindar a los atacantes acceso persistente a los sistemas comprometidos y un descargador de otro malware, incluidos Cobalt Strike y Sliver.
Las capacidades del malware también lo han convertido en una herramienta elegida por los actores de amenazas, con 413 incidentes de infección de Bumblebee informados en mayo de 2022, frente a los 41 de abril, según Cyble.
«Bumblebee es un cargador de malware nuevo y altamente sofisticado que emplea maniobras evasivas extensas y trucos antianálisis, incluidas técnicas complejas antivirtualización», dijeron los investigadores. dijo. «Es probable que se convierta en una herramienta popular para que los grupos de ransomware entreguen su carga útil».