{"id":220028,"date":"2022-06-24T05:04:31","date_gmt":"2022-06-24T07:04:31","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-nouveau-constructeur-quantum-permet-aux-attaquants-de-creer-facilement-des-raccourcis-windows-malveillants\/"},"modified":"2022-06-24T05:04:32","modified_gmt":"2022-06-24T07:04:32","slug":"le-nouveau-constructeur-quantum-permet-aux-attaquants-de-creer-facilement-des-raccourcis-windows-malveillants","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-nouveau-constructeur-quantum-permet-aux-attaquants-de-creer-facilement-des-raccourcis-windows-malveillants\/","title":{"rendered":"Le nouveau constructeur &#8220;Quantum&#8221; permet aux attaquants de cr\u00e9er facilement des raccourcis Windows malveillants"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un nouvel outil malveillant qui permet aux cybercriminels de cr\u00e9er des raccourcis Windows malveillants (<a rel=\"nofollow noopener\" href=\"https:\/\/docs.microsoft.com\/en-us\/openspecs\/windows_protocols\/ms-shllink\/16cb4ca1-9339-4d0c-a68d-bf1d6cc0f943\" target=\"_blank\">.LNK<\/a>) les fichiers ont \u00e9t\u00e9 mis en vente sur des forums de cybercriminalit\u00e9.<\/p>\n<p>Doubl\u00e9 <b>Constructeur de liens quantiques<\/b>le logiciel permet d&#8217;usurper n&#8217;importe quelle extension et de choisir parmi plus de 300 ic\u00f4nes, sans oublier le support <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/User_Account_Control\" target=\"_blank\">UAC<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/security\/threat-protection\/microsoft-defender-smartscreen\/microsoft-defender-smartscreen-overview\" target=\"_blank\">\u00c9cran intelligent de Windows<\/a> bypass ainsi que le fichier &#8220;plusieurs charges utiles par .LNK&#8221;.  Des capacit\u00e9s de g\u00e9n\u00e9ration de charges utiles .HTA et d&#8217;image disque (.ISO) sont \u00e9galement propos\u00e9es.<\/p>\n<p>Quantum Builder est disponible \u00e0 la location \u00e0 diff\u00e9rents prix : 189 \u20ac par mois, 355 \u20ac pour deux mois, 899 \u20ac pour six mois, ou en achat unique \u00e0 vie pour 1 500 \u20ac.<\/p>\n<p>&#8220;Les fichiers .LNK sont des fichiers de raccourci qui r\u00e9f\u00e9rencent d&#8217;autres fichiers, dossiers ou applications pour les ouvrir&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Cyble. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.cyble.com\/2022\/06\/22\/quantum-software-lnk-file-based-builders-growing-in-popularity\/\" target=\"_blank\">a dit<\/a> dans un rapport.  &#8220;La [threat actor] exploite les fichiers .LNK et supprime les charges utiles malveillantes \u00e0 l&#8217;aide <a rel=\"nofollow noopener\" href=\"https:\/\/www.darktrace.com\/en\/blog\/living-off-the-land-how-hackers-blend-into-your-environment\/\" target=\"_blank\">LOLBins<\/a> [living-off-the-land binaries].&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"477\" data-original-width=\"728\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEiq4fJtP7B7JFCVFm1i2HJNitv0I7q2ZPpo1ENRwjdGkXyHfFYgPi0bCHkdKPDoDtM_VSoDR3MwBf1n7upU0j-7MwhtRNgu_zWgreUa_K6_11h4Gr2G_9R6lNDiMkVzv6gv5PxrPN6jsJwQ1M4iyyW5gfXnuiV4bzpt8k2X6OYMP3xYzK6i4hZGe8fz\/s728-e100\/malware.jpg\" \/><\/div>\n<p>Les premi\u00e8res preuves d&#8217;\u00e9chantillons de logiciels malveillants utilisant Quantum Builder dans la nature remonteraient au 24 mai, se faisant passer pour des fichiers texte inoffensifs (&#8220;test.txt.lnk&#8221;).<\/p>\n<p>&#8220;Par d\u00e9faut, Windows masque l&#8217;extension .LNK, donc si un fichier est nomm\u00e9 file_name.txt.lnk, alors seul file_name.txt sera visible pour l&#8217;utilisateur m\u00eame si l&#8217;option d&#8217;affichage de l&#8217;extension de fichier est activ\u00e9e&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Pour ces raisons, cela pourrait \u00eatre une option int\u00e9ressante pour les assistants d&#8217;enseignement, en utilisant les fichiers .LNK comme d\u00e9guisement ou \u00e9cran de fum\u00e9e.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"288\" data-original-width=\"728\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhrMXPbhZZclc7wWPFEqqSPhwi6cuTyZBthRVjjvA-4NViSXl6RgvL7mBB13c2uc2H4l5I4v840HUK-yiLgS5Y800vJKc5lKHAyNJZiR-LbrTGbuVmN8dT25zI0B1rWoyw8J8mg4IzKzZ95_XZT1HIBRfDGUrySIA1ahcVB7bIixq4tBUr_zVysXRMA\/s728-e100\/hack.jpg\" \/><\/div>\n<p>Le lancement du fichier .LNK ex\u00e9cute le code PowerShell qui, \u00e0 son tour, ex\u00e9cute un fichier d&#8217;application HTML (&#8220;bdg.hta&#8221;) h\u00e9berg\u00e9 sur le site Web de Quantum (&#8220;quantum-software[.]en ligne&#8221;) en utilisant <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1218\/005\/\" target=\"_blank\">MSHTA<\/a>un utilitaire Windows l\u00e9gitime utilis\u00e9 pour ex\u00e9cuter des fichiers HTA.<\/p>\n<p>Quantum Builder partagerait des liens avec le groupe Lazarus, bas\u00e9 en Cor\u00e9e du Nord, en raison des chevauchements au niveau du code source dans l&#8217;outil et du mode op\u00e9ratoire de ce dernier consistant \u00e0 tirer parti des fichiers .LNK pour fournir des charges utiles d&#8217;\u00e9tape suppl\u00e9mentaires, indiquant son utilisation potentielle par les acteurs APT dans leur attaques.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Le d\u00e9veloppement intervient alors que les op\u00e9rateurs derri\u00e8re Bumblebee et Emotet se tournent vers les fichiers .LNK comme conduit pour d\u00e9clencher les cha\u00eenes d&#8217;infection suite \u00e0 la d\u00e9cision de Microsoft de d\u00e9sactiver les macros Visual Basic pour Applications (VBA) par d\u00e9faut sur ses produits plus t\u00f4t cette ann\u00e9e.<\/p>\n<p>Bumblebee, un rempla\u00e7ant du logiciel malveillant BazarLoader rep\u00e9r\u00e9 pour la premi\u00e8re fois en mars, fonctionne comme une porte d\u00e9rob\u00e9e con\u00e7ue pour donner aux attaquants un acc\u00e8s persistant aux syst\u00e8mes compromis et un t\u00e9l\u00e9chargeur pour d&#8217;autres logiciels malveillants, notamment Cobalt Strike et Sliver.<\/p>\n<p>Les capacit\u00e9s du malware en ont \u00e9galement fait un outil de choix pour les acteurs de la menace, avec 413 incidents d&#8217;infection par Bumblebee signal\u00e9s en mai 2022, contre 41 en avril, selon Cyble.<\/p>\n<p>&#8220;Bumblebee est un nouveau chargeur de logiciels malveillants hautement sophistiqu\u00e9 qui utilise de nombreuses man\u0153uvres d&#8217;\u00e9vitement et des astuces anti-analyse, y compris des techniques anti-virtualisation complexes&#8221;, ont d\u00e9clar\u00e9 les chercheurs. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.cyble.com\/2022\/06\/07\/bumblebee-loader-on-the-rise\/\" target=\"_blank\">a dit<\/a>.  &#8220;Il est susceptible de devenir un outil populaire pour les groupes de ran\u00e7ongiciels pour livrer leur charge utile.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/new-quantum-builder-lets-attackers.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un nouvel outil malveillant qui permet aux cybercriminels de cr\u00e9er des raccourcis Windows malveillants (.LNK) les fichiers ont \u00e9t\u00e9 mis en vente sur des forums de cybercriminalit\u00e9. Doubl\u00e9 Constructeur de liens quantiquesle logiciel permet d&#8217;usurper n&#8217;importe quelle extension et de choisir parmi plus de 300 ic\u00f4nes, sans oublier le support UAC et \u00c9cran intelligent de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":220029,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[11865,507,4168,9978,2167,4158,4165,4161,133,11324,4157,4159,4171,4170,4167,4590,4160,680,4163,4162,9701,61219,47953,4172,4169,4166,4164,45020],"class_list":["post-220028","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaquants","tag-aux","tag-comment-pirater","tag-constructeur","tag-creer","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-facilement","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-malveillants","tag-mises-a-jour-de-la-cybersecurite","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-permet","tag-quantum","tag-raccourcis","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/220028","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=220028"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/220028\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/220029"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=220028"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=220028"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=220028"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}