Quantum Builder

Raziskovalci kibernetske varnosti so osvetlili močno, nevarno orodje, imenovano Quantum Builder (Quantum Software), ki akterjem groženj omogoča ustvarjanje oboroženih datotek .lnk. LNK so datoteke bližnjic v sistemih Windows, ki lahko prenašajo poškodovano kodo. Udeleženci grožnje lahko to zlorabijo za izkoriščanje zakonitih orodij, najdenih v vlomljenem sistemu, kot sta PowerShell ali MSHTA (uporablja se za izvajanje datotek Microsoft HTML Application).

Podrobnosti o Quantum Builderju so bile objavljene v poročilu, ki so ga objavili raziskovalci. Odkrili so, da je grožnja ponujena v prodajo potencialnim akterjem grožnje. Cena je bila določena na 189 evrov na mesec, 335 evrov za dva meseca in 899 evrov za šest mesecev. Za doživljenjski dostop bi morali bodoči kriminalci plačati enkratno plačilo v višini 1500 evrov. Graditelj ima grafični vmesnik in obsežen nabor možnosti in parametrov, ki olajšajo ustvarjanje poškodovanih LNK-jev.

Poleg tega se Quantum oglašuje kot popolnoma nezaznavnega, kar bi pomenilo, da ga noben sistem proti zlonamerni programski opremi ali mehanizem za zaščito kibernetske varnosti ne more označiti kot potencialno sumljivega ali neposredno grozečega. Poleg tega lahko zaobide Windows UAC (Nadzor uporabniškega računa) in Windows Smartscreen. Grožnja ima tudi možnost uporabe ene datoteke LNK za nalaganje več nevarnih koristnih bremen. Poleg LNK-jev Quantum Builder omogoča akterjem grožnje ustvarjanje datotek HTA in celo arhivov ISO, ki se pogosto uporabljajo kot sredstvo za pakiranje vseh škodljivih komponent znotraj slike diska.

Raziskovalci so odkrili še eno posebnost Quantum Builderja. Očitno bi grožnja lahko napadalcem omogočila, da izvedejo poljubno izvajanje kode prek n-dnevnega izkoriščanja. Ranljivost vpliva na diagnostično orodje Microsoft Support Diagnostic Tool (MSDT).