Quantum Builder

Cybersecurity-onderzoekers hebben licht geworpen op een krachtige, bedreigende tool genaamd Quantum Builder (Quantum Software), waarmee bedreigingsactoren bewapende .lnk-bestanden kunnen maken. LNK's zijn snelkoppelingsbestanden op Windows-systemen die beschadigde code kunnen bevatten. Bedreigingsactoren kunnen dit misbruiken om legitieme tools te misbruiken die op het gehackte systeem worden gevonden, zoals PowerShell of MSHTA (gebruikt om Microsoft HTML-toepassingsbestanden uit te voeren).

Details over de Quantum Builder zijn vrijgegeven in een rapport van onderzoekers. Ze ontdekten dat de dreiging te koop werd aangeboden aan potentiële dreigingsactoren. De prijs was vastgesteld op € 189 per maand, € 335 voor twee maanden en € 899 voor zes maanden. Voor levenslange toegang zouden de potentiële criminelen een eenmalige betaling van € 1.500 moeten doen. De bouwer wordt geleverd met een grafische interface en een uitgebreide set opties en parameters om het maken van beschadigde LNK's te vergemakkelijken.

Bovendien wordt Quantum geadverteerd als volledig ondetecteerbaar, wat zou betekenen dat geen enkele anti-malware-engine of cyberbeveiligingsmechanisme het als potentieel verdacht of ronduit bedreigend kan markeren. Bovendien kan het de Windows UAC (User Account Control) en Windows Smartscreen omzeilen. De dreiging heeft ook de mogelijkheid om een enkel LNK-bestand te gebruiken om meerdere bedreigende payloads te laden. Afgezien van LNK's, stelt de Quantum Builder bedreigingsactoren in staat om HTA-bestanden en zelfs ISO-archieven te maken, die vaak worden gebruikt als middel om alle schadelijke componenten in de schijfkopie te verpakken.

De onderzoekers ontdekten nog een ander onderscheidend kenmerk van de Quantum Builder. Blijkbaar zou de dreiging de aanvallers in staat kunnen stellen om willekeurige code-uitvoering uit te voeren via een 'dogwalk n-day exploit'. Het beveiligingslek treft het Microsoft Support Diagnostic Tool (MSDT).