Quantum Builder

Cybersikkerhedsforskere har kastet lys over et potent, truende værktøj ved navn Quantum Builder (Quantum Software), som gør det muligt for trusselsaktører at oprette våbenbaserede .lnk-filer. LNK'er er genvejsfiler på Windows-systemer, der kan bære beskadiget kode. Trusselsaktører kan misbruge dette til at udnytte legitime værktøjer, der findes på det brudte system, såsom PowerShell eller MSHTA (bruges til at udføre Microsoft HTML-applikationsfiler).

Detaljer om Quantum Builder blev frigivet i en rapport udgivet af forskere. De opdagede, at truslen blev udbudt til salg til potentielle trusselsaktører. Prisen blev sat til €189 pr. måned, €335 for to måneder og €899 for seks måneder. For livstidsadgang skal de potentielle kriminelle foretage en enkelt betaling på €1.500. Bygherren kommer med en grafisk grænseflade og et omfattende sæt af muligheder og parametre for at lette oprettelsen af korrupte LNK'er.

Derudover annonceres Quantum som værende fuldstændig uopdagelig, hvilket ville betyde, at ingen anti-malware-motorer eller cybersikkerhedsbeskyttelsesmekanismer er i stand til at markere det som potentielt mistænkeligt eller direkte truende. Derudover kan den omgå Windows UAC (User Account Control) samt Windows Smartscreen. Truslen har også evnen til at bruge en enkelt LNK-fil til at indlæse flere truende nyttelaster. Bortset fra LNK'er tillader Quantum Builder trusselsaktører at oprette HTA-filer og endda ISO-arkiver, som ofte bruges som midler til at pakke alle de skadelige komponenter inde i diskbilledet.

Forskerne opdagede et andet karakteristisk træk ved Quantum Builder. Tilsyneladende kunne truslen potentielt give angriberne mulighed for at udføre vilkårlig kodeudførelse via en dogwalk n-day exploit. Sårbarheden påvirker Microsoft Support Diagnostic Tool (MSDT).