Исследователи из Cyble обнаружили новый инструмент для создания вредоносных LNK-файлов под названием Quantum, который имеет графический интерфейс и предлагает удобное создание файлов с помощью большого набора опций и параметров.
Quantum можно приобрести за €1500 или арендовать за:
€189 в месяц;
€335 евро на 2 месяца;
€899 евро на 6 месяцев;
Quantum предлагает следующие функции:
маскировка под более 300 значков различных программ;
подмена расширений файлов ;
обход User Account Control ( контроль учетных записей, UAC );
обход Windows Smartscreen ;
возможность объединения нескольких полезных нагрузок в один LNK-файл;
скрытие после выполнения;
запуск или отложенное выполнение.
По словам авторов Quantum, файлы Quantum не определяются антивирусными и защитными механизмами ОС. Quantum также предлагает возможность создавать HTA-файлы (HTML Application) и ISO-архивы, которые обычно используются в атаках с использованием LNK.
Еще одной интересной особенностью Quantum является использование уязвимости DogWalk в инструменте диагностики Microsoft (Microsoft Support Diagnostic Tool, MSDT), который выполняет произвольный код с помощью файла .diagcab. Более того, анализ Cyble недавних образцов LNK показал, что известная APT-группа Lazarus может использовать Quantum для своих атак.
Использование LNK-файлов эффективно для злоумышленников, поэтому тенденция к распространению LNK-файлов продолжится. Пользователям рекомендуется сканировать антивирусным ПО все файлы, которые они получают по электронной почте.
Источник: SecurityLab