Investigadores de malware han observado una nueva herramienta que ayuda a los ciberdelincuentes a construir archivos .LNK maliciosos para entregar cargas útiles para las etapas iniciales de un ataque.
Los LNK son archivos de acceso directo de Windows que pueden contener código malicioso para abusar de las herramientas legítimas del sistema, los llamados binarios “living-off-the-land” (LOLBins), como PowerShell o el MSHTA que se utiliza para ejecutar archivos de aplicaciones HTML de Microsoft (HTA).
Debido a esto, los LNK se utilizan ampliamente para la distribución de malware, especialmente en las campañas de phishing, y algunas familias de malware notables que los utilizan actualmente son Emotet, Bumblebee, Qbot e IcedID.
Los investigadores de Cyble han descubierto una nueva herramienta para crear LNKs maliciosos llamada Quantum, que cuenta con una interfaz gráfica y ofrece una cómoda construcción de archivos a través de un rico conjunto de opciones y parámetros (por ejemplo, falsificación de extensiones, selección de iconos entre más de 300 opciones disponibles).
La herramienta se alquila por 189 euros al mes, 335 euros por dos meses, 899 euros por seis meses, o un pago único de 1.500 euros para el acceso de por vida.
Sus autores afirman que los archivos generados con Quantum son 100% FUD, o totalmente indetectables, lo que indica que los motores antivirus y los mecanismos de protección del sistema operativo no los marcan como sospechosos o peligrosos.
Por último, Quantum también ofrece la opción de construir archivos HTA y archivos ISO, que suelen ir de la mano en los ataques que implican LNK, con todo incluido dentro de los archivos de imagen de disco.
Otra característica interesante de Quantum es la implementación de un exploit dogwalk n-day en la Herramienta de Diagnóstico de Soporte de Microsoft (MSDT), que utiliza un archivo .diagcab para realizar la ejecución de código arbitrario.
El análisis de Cyble de las recientes muestras de LNK capturadas en la naturaleza indica que conocidas bandas de APT como Lazarus podrían estar utilizando Quantum para sus ataques.