Quantum Builder

Kyberturvallisuustutkijat ovat paljastaneet tehokkaan, uhkaavan työkalun nimeltä Quantum Builder (Quantum Software), jonka avulla uhkatoimijat voivat luoda aseistettuja .lnk-tiedostoja. LNK:t ovat Windows-järjestelmien pikakuvakkeita, jotka voivat kuljettaa vioittunutta koodia. Uhkatoimijat voivat käyttää tätä väärin hyödyntääkseen rikotun järjestelmän laillisia työkaluja, kuten PowerShellia tai MSHTA:ta (käytetään Microsoft HTML -sovellustiedostojen suorittamiseen).

Yksityiskohdat Quantum Builderista julkaistiin tutkijoiden julkaisemassa raportissa. He havaitsivat, että uhkaa tarjotaan myyntiin mahdollisille uhkatekijöille. Hinta oli 189 euroa kuukaudessa, 335 euroa kahdessa kuukaudessa ja 899 euroa kuukaudessa. Elinikäisen pääsyn saamiseksi mahdollisten rikollisten olisi suoritettava 1 500 euron kertamaksu. Rakentajan mukana tulee graafinen käyttöliittymä ja laaja valikoima vaihtoehtoja ja parametreja, jotka helpottavat vioittuneiden LNK:iden luomista.

Lisäksi Quantumia mainostetaan täysin havaitsemattomaksi, mikä tarkoittaisi, että mitkään haittaohjelmien torjuntamoottorit tai kyberturvallisuuden suojamekanismit eivät pysty merkitsemään sitä mahdollisesti epäilyttäväksi tai suoranaisesti uhkaavaksi. Lisäksi se voi ohittaa Windowsin UAC:n (User Account Control) sekä Windows Smartscreenin. Uhkalla on myös mahdollisuus käyttää yhtä LNK-tiedostoa useiden uhkaavien hyötykuormien lataamiseen. LNK:iden lisäksi Quantum Builder antaa uhkatekijöille mahdollisuuden luoda HTA-tiedostoja ja jopa ISO-arkistoja, joita käytetään usein keinona pakata kaikki haitalliset komponentit levykuvan sisään.

Tutkijat löysivät toisen Quantum Builderin erityispiirteen. Ilmeisesti uhka voisi mahdollistaa hyökkääjien suorittaa mielivaltaisen koodin suorittamisen dogwalk n-päivän hyväksikäytön kautta. Haavoittuvuus vaikuttaa Microsoftin tukidiagnostiikkatyökaluun (MSDT).