Threat Database Malware Quantum Builder

Quantum Builder

Kibernetinio saugumo tyrinėtojai atskleidė galingą grėsmingą įrankį, pavadintą Quantum Builder (Quantum Software), kuris leidžia grėsmės veikėjams kurti ginkluotus .lnk failus. LNK yra sparčiųjų klavišų failai „Windows“ sistemose, kuriuose gali būti sugadintas kodas. Grėsmės veikėjai gali tuo piktnaudžiauti, kad išnaudotų teisėtus įrankius, esančius pažeistoje sistemoje, pvz., PowerShell arba MSHTA (naudojamus Microsoft HTML taikomųjų programų failams vykdyti).

Išsami informacija apie Quantum Builder buvo paskelbta mokslininkų paskelbtoje ataskaitoje. Jie atrado, kad grėsmė siūloma parduoti potencialiems grėsmės veikėjams. Kaina buvo nustatyta – 189 eurai per mėnesį, 335 eurai už du mėnesius ir 899 eurai už šešis mėnesius. Norėdami gauti prieigą visą gyvenimą, būsimi nusikaltėliai turės sumokėti vieną 1500 eurų įmoką. Konstruktorius turi grafinę sąsają ir platų parinkčių bei parametrų rinkinį, palengvinantį sugadintų LNK kūrimą.

Be to, „Quantum“ reklamuojama kaip visiškai neaptinkama, o tai reikštų, kad jokie apsaugos nuo kenkėjiškų programų varikliai ar kibernetinio saugumo apsaugos mechanizmai negali pažymėti jo kaip galimai įtartino ar tiesioginio grėsmingo. Be to, jis gali apeiti „Windows UAC“ (vartotojo abonemento valdymą), taip pat „Windows Smartscreen“. Grėsmė taip pat turi galimybę naudoti vieną LNK failą keliems grėsmingiems kroviniams įkelti. Be LNK, „Quantum Builder“ leidžia grėsmės veikėjams kurti HTA failus ir net ISO archyvus, kurie dažnai naudojami kaip priemonė visiems kenksmingiems komponentams supakuoti disko atvaizde.

Tyrėjai atrado dar vieną išskirtinį Quantum Builder bruožą. Matyt, grėsmė gali leisti užpuolikams atlikti savavališką kodo vykdymą naudojant „dogwalk n-day“ išnaudojimą. Pažeidžiamumas paveikia „Microsoft“ palaikymo diagnostikos įrankį (MSDT).

Tendencijos

Labiausiai žiūrima

Įkeliama...