Quantum Builder

A kiberbiztonsági kutatók fényt derítettek a Quantum Builder (Quantum Software) nevű hatékony, fenyegető eszközre, amely lehetővé teszi a fenyegetés szereplői számára, hogy fegyveres .lnk fájlokat hozzanak létre. Az LNK-k olyan parancsikonfájlok a Windows rendszereken, amelyek sérült kódot hordozhatnak. A fenyegető szereplők visszaélhetnek ezzel, hogy kihasználják a feltört rendszeren található legitim eszközöket, például a PowerShellt vagy az MSHTA-t (a Microsoft HTML-alkalmazásfájlok futtatására használják).

A Quantum Builderrel kapcsolatos részleteket a kutatók által közzétett jelentésben hozták nyilvánosságra. Felfedezték, hogy a fenyegetést eladásra kínálják a potenciális fenyegetés szereplőinek. Az árat havi 189 euróban, két hónapra 335 euróban, hat hónapra pedig 899 euróban határozták meg. Az élethosszig tartó hozzáférés érdekében a leendő bűnözőknek egyszeri 1500 eurós befizetést kell fizetniük. Az építő grafikus felülettel, valamint számos opcióval és paraméterrel rendelkezik, amelyek megkönnyítik a sérült LNK-k létrehozását.

Ezenkívül a Quantumot teljesen észlelhetetlennek hirdetik, ami azt jelentené, hogy egyetlen kártevőirtó motor vagy kiberbiztonsági védelmi mechanizmus sem tudná potenciálisan gyanúsnak vagy egyenesen fenyegetőnek jelölni. Ezenkívül megkerülheti a Windows UAC-t (User Account Control), valamint a Windows Smartscreent. A fenyegetés arra is képes, hogy egyetlen LNK-fájlt használjon több fenyegető rakomány betöltésére. Az LNK-kon kívül a Quantum Builder lehetővé teszi a fenyegetések szereplői számára, hogy HTA-fájlokat, sőt ISO-archívumokat hozzanak létre, amelyeket gyakran használnak az összes káros összetevő lemezképbe történő becsomagolására.

A kutatók felfedezték a Quantum Builder egy másik jellegzetes tulajdonságát. Úgy tűnik, a fenyegetés potenciálisan lehetővé teheti a támadók számára, hogy tetszőleges kódvégrehajtást hajtsanak végre egy dogwalk n-day exploit segítségével. A biztonsági rés a Microsoft támogatási diagnosztikai eszközét (MSDT) érinti.