Quantum Builder: una herramienta para crear archivos de acceso directo maliciosos

Investigadores detectaron una herramienta de malware que permite a los ciberdelincuentes crear archivos maliciosos de acceso directo de Windows (.LNK). En la actualidad, esta herramienta se ha descubierto a la venta en foros de ciberdelincuencia. La herramienta, denominada Quantum Lnk Builder, está disponible para arrendarla a varias ofertas de precios. Está disponible por un mes […]

Investigadores detectaron una herramienta de malware que permite a los ciberdelincuentes crear archivos maliciosos de acceso directo de Windows (.LNK).

En la actualidad, esta herramienta se ha descubierto a la venta en foros de ciberdelincuencia.

La herramienta, denominada Quantum Lnk Builder, está disponible para arrendarla a varias ofertas de precios.

Está disponible por un mes a €189 (aproximadamente $200), por dos meses a €355 (aproximadamente $375) y por seis meses a €899 (aproximadamente $950). Los usuarios obtienen acceso de por vida por €1500 (aproximadamente $ 1585).

La herramienta permite falsificar cualquier extensión y elegir entre más de 300 íconos para archivos de enlaces maliciosos. Además, incluso tiene soporte para UAC y omisión de Windows SmartScreen.

Quantum Builder admite múltiples cargas útiles por archivo LNK y tiene capacidades para crear cargas útiles HTA e ISO. Las primeras muestras datan del 24 de mayo y pretendían ser archivos de texto de apariencia inofensiva.

Además comparte vínculos con el Grupo Lazarus en función de las superposiciones de nivel de código fuente en la herramienta y el modus operandi de usar archivos LNK para distribuir más cargas útiles en el escenario, lo que implica un uso potencial por parte de los actores APT.

De forma predeterminada, el sistema operativo Windows oculta la extensión LNK. Si un archivo tiene el nombre file_name[.]txt[.]lnk, entonces solo file_name[.]txt se mostrará al usuario aunque la opción ‘mostrar extensión de archivo’ esté habilitada. Por esta razón, existe una mayor probabilidad de que los usuarios sean engañados para que hagan clic en este tipo de archivo.

Cuando se ejecutan los archivos LNK, pueden ejecutar código de PowerShell que se puede aprovechar para realizar más acciones. En este caso específico, ejecuta un archivo de aplicación HTML alojado en el sitio web de Quantum usando una utilidad legítima de Windows que se usa para ejecutar archivos HTA, MSHTA.

Una herramienta dedicada para generar archivos LNK maliciosos indica la creciente popularidad de los archivos LNK maliciosos. Además, varios informes sugieren que los ataques basados ​​en LNK están cobrando fuerza entre varios grupos de amenazas, incluidos Emotet, Bumblebee, Qbot e IcedID. La disponibilidad de herramientas dedicadas podría desviar aún más la atención de más grupos hacia esta táctica de ataque en el futuro próximo.