Новый квантовый конструктор создает незаметный эксплойт

Исследователи из Cyble обнаружили новый инструмент для создания вредоносных LNK-файлов под названием Quantum, который имеет графический интерфейс и предлагает удобное создание файлов с помощью большого набора опций и параметров.

Quantum можно приобрести за €1500 или арендовать за:

• €189 в месяц;
• €335 евро на 2 месяца;
• €899 евро на 6 месяцев;

Quantum предлагает следующие функции:

• маскировка под более 300 иконок различных программ;
• подмена расширений файлов ;
• обход User Account Control ( контроль учетных записей, UAC );
• обход Windows Smartscreen ;
• возможность объединения нескольких полезных нагрузок в один LNK-файл;
• скрытие после выполнения;
• запуск или отложенное выполнение.

По словам авторов Quantum, файлы Quantum не определяются антивирусными и защитными механизмами ОС. Quantum также предлагает возможность создавать HTA-файлы (HTML Application) и ISO-архивы, которые обычно используются в атаках с использованием LNK.

Еще одной интересной особенностью Quantum является использование уязвимости DogWalk в инструменте диагностики Microsoft (Microsoft Support Diagnostic Tool, MSDT), который выполняет произвольный код с помощью файла .diagcab. Более того, анализ Cyble недавних образцов LNK показал, что известная APT-группа Lazarus может использовать Quantum для своих атак.

Использование LNK-файлов эффективно для злоумышленников, поэтому тенденция к распространению LNK-файлов продолжится. Пользователям рекомендуется сканировать антивирусным ПО все файлы, которые они получают по электронной почте.