Una nueva herramienta de malware que permite a los ciberdelincuentes crear accesos directos de Windows maliciosos (.LNK<\/a>) se han visto archivos a la venta en foros de ciberdelincuencia.<\/p>\n Doblado Constructor de enlaces cu\u00e1nticos<\/b>el software permite falsificar cualquier extensi\u00f3n y elegir entre m\u00e1s de 300 \u00edconos, sin mencionar el soporte UAC<\/a> y Pantalla inteligente de Windows<\/a> omitir as\u00ed como “m\u00faltiples cargas \u00fatiles por archivo .LNK”. Tambi\u00e9n se ofrecen capacidades para generar cargas \u00fatiles .HTA e imagen de disco (.ISO).<\/p>\n Quantum Builder est\u00e1 disponible para arrendamiento a diferentes precios: 189 \u20ac al mes, 355 \u20ac por dos meses, 899 \u20ac por seis meses o como una compra \u00fanica de por vida por 1500 \u20ac.<\/p>\n “Los archivos .LNK son archivos de acceso directo que hacen referencia a otros archivos, carpetas o aplicaciones para abrirlos”, investigadores de Cyble dijo<\/a> en un informe “Los [threat actor] aprovecha los archivos .LNK y elimina las cargas \u00fatiles maliciosas mediante LOLBins<\/a> [living-off-the-land binaries].”<\/p>\n Se dice que las primeras pruebas de muestras de malware que utilizan Quantum Builder en la naturaleza se remontan al 24 de mayo y se hacen pasar por archivos de texto de apariencia inofensiva (“test.txt.lnk”).<\/p>\n “De forma predeterminada, Windows oculta la extensi\u00f3n .LNK, por lo que si un archivo tiene el nombre file_name.txt.lnk, el usuario solo ver\u00e1 file_name.txt, incluso si la opci\u00f3n Mostrar extensi\u00f3n de archivo est\u00e1 habilitada”, dijeron los investigadores. “Por tales razones, esta podr\u00eda ser una opci\u00f3n atractiva para los TA, utilizando los archivos .LNK como disfraz o cortina de humo”.<\/p>\n Al iniciar el archivo .LNK, se ejecuta el c\u00f3digo de PowerShell que, a su vez, ejecuta un archivo de aplicaci\u00f3n HTML (“bdg.hta”) alojado en el sitio web de Quantum (“quantum-software[.]en l\u00ednea”) utilizando MSHTA<\/a>una utilidad leg\u00edtima de Windows que se usa para ejecutar archivos HTA.<\/p>\n Se dice que Quantum Builder comparte v\u00ednculos con Lazarus Group, con sede en Corea del Norte, en funci\u00f3n de las superposiciones de nivel de c\u00f3digo fuente en la herramienta y el modus operandi de este \u00faltimo de aprovechar los archivos .LNK para entregar m\u00e1s cargas \u00fatiles en el escenario, lo que indica su uso potencial por parte de los actores de APT en su ataques<\/p>\n El desarrollo se produce cuando los operadores detr\u00e1s de Bumblebee y Emotet est\u00e1n cambiando a archivos .LNK como un conducto para desencadenar las cadenas de infecci\u00f3n luego de la decisi\u00f3n de Microsoft de deshabilitar las macros de Visual Basic para aplicaciones (VBA) de forma predeterminada en todos sus productos a principios de este a\u00f1o.<\/p>\n Bumblebee, un reemplazo del malware BazarLoader descubierto por primera vez en marzo, funciona como una puerta trasera dise\u00f1ada para brindar a los atacantes acceso persistente a los sistemas comprometidos y un descargador de otro malware, incluidos Cobalt Strike y Sliver.<\/p>\n Las capacidades del malware tambi\u00e9n lo han convertido en una herramienta elegida por los actores de amenazas, con 413 incidentes de infecci\u00f3n de Bumblebee informados en mayo de 2022, frente a los 41 de abril, seg\u00fan Cyble.<\/p>\n “Bumblebee es un cargador de malware nuevo y altamente sofisticado que emplea maniobras evasivas extensas y trucos antian\u00e1lisis, incluidas t\u00e9cnicas complejas antivirtualizaci\u00f3n”, dijeron los investigadores. dijo<\/a>. “Es probable que se convierta en una herramienta popular para que los grupos de ransomware entreguen su carga \u00fatil”.<\/p>\n <\/p>\n<\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1656057602_4_El-nuevo-Quantum-Builder-permite-a-los-atacantes-crear-facilmente.jpg\")
<\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1656057602_589_El-nuevo-Quantum-Builder-permite-a-los-atacantes-crear-facilmente.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n