Quantum Builder

Siber güvenlik araştırmacıları, tehdit aktörlerinin silahlı .lnk dosyaları oluşturmasına olanak tanıyan Quantum Builder (Quantum Yazılımı) adlı güçlü ve tehdit edici bir araca ışık tuttu. LNK'ler, Windows sistemlerinde bozuk kod taşıyabilen kısayol dosyalarıdır. Tehdit aktörleri, PowerShell veya MSHTA (Microsoft HTML Uygulama dosyalarını yürütmek için kullanılan) gibi, ihlal edilen sistemde bulunan meşru araçlardan yararlanmak için bunu kötüye kullanabilir.

Quantum Builder ile ilgili ayrıntılar, araştırmacılar tarafından yayınlanan bir raporda yayınlandı. Potansiyel tehdit aktörlerine satışa sunulan tehdidi keşfettiler. Fiyat ayda 189 €, iki ay için 335 € ve altı ay için 899 € olarak belirlendi. Ömür boyu erişim için, olası suçluların tek bir 1.500 € ödemesi gerekecek. Oluşturucu, bozuk LNK'lerin oluşturulmasını kolaylaştırmak için bir grafik arabirim ve kapsamlı bir dizi seçenek ve parametre ile birlikte gelir.

Ayrıca, Quantum'un tamamen tespit edilemez olduğu ilan edilir; bu, hiçbir kötü amaçlı yazılımdan koruma motorunun veya siber güvenlik koruma mekanizmasının onu potansiyel olarak şüpheli veya doğrudan tehdit edici olarak işaretleyemeyeceği anlamına gelir. Ayrıca, Windows UAC'yi (Kullanıcı Hesabı Denetimi) ve Windows Akıllı Ekranını atlayabilir. Tehdit ayrıca, birden çok tehdit edici yükü yüklemek için tek bir LNK dosyası kullanma yeteneğine de sahiptir. LNK'lerin yanı sıra, Quantum Builder, tehdit aktörlerinin HTA dosyaları ve hatta genellikle disk görüntüsü içindeki tüm zararlı bileşenleri paketlemek için kullanılan bir araç olarak kullanılan ISO arşivleri oluşturmasına olanak tanır.

Araştırmacılar, Quantum Builder'ın başka bir ayırt edici özelliğini keşfettiler. Görünüşe göre tehdit, saldırganların bir dogwalk n-günlük istismar yoluyla rasgele kod yürütmesine izin verebilir. Güvenlik açığı, Microsoft Destek Tanılama Aracı'nı (MSDT) etkiler.