Quantum Builder

Cybersikkerhetsforskere har kastet lys over et potent, truende verktøy kalt Quantum Builder (Quantum Software), som lar trusselaktører lage våpeniserte .lnk-filer. LNK-er er snarveisfiler på Windows-systemer som kan bære ødelagt kode. Trusselaktører kan misbruke dette for å utnytte legitime verktøy som finnes på systemet som brytes, for eksempel PowerShell eller MSHTA (brukes til å kjøre Microsoft HTML-applikasjonsfiler).

Detaljer om Quantum Builder ble utgitt i en rapport utgitt av forskere. De oppdaget at trusselen ble tilbudt for salg til potensielle trusselaktører. Prisen ble satt til €189 per måned, €335 for to måneder og €899 for seks måneder. For livstidstilgang, må de potensielle kriminelle betale én enkelt betaling på €1500. Byggeren kommer med et grafisk grensesnitt og et omfattende sett med alternativer og parametere for å lette opprettelsen av korrupte LNK-er.

Videre annonseres Quantum som fullstendig uoppdagelig, noe som vil bety at ingen anti-malware-motorer eller cybersikkerhetsbeskyttelsesmekanismer er i stand til å flagge det som potensielt mistenkelig eller direkte truende. I tillegg kan den omgå Windows UAC (User Account Control), så vel som Windows Smartscreen. Trusselen har også muligheten til å bruke en enkelt LNK-fil til å laste flere truende nyttelaster. Bortsett fra LNK-er, lar Quantum Builder trusselaktører lage HTA-filer og til og med ISO-arkiver, som ofte brukes som midler til å pakke alle de skadelige komponentene inne i diskbildet.

Forskerne oppdaget et annet særtrekk ved Quantum Builder. Tilsynelatende kan trusselen potensielt tillate angriperne å utføre vilkårlig kodekjøring via en dogwalk n-dagers utnyttelse. Sårbarheten påvirker Microsoft Support Diagnostic Tool (MSDT).