Pembuat ‘Quantum’ Baru Memungkinkan Penyerang Membuat Pintasan Windows Berbahaya dengan Mudah

  • Whatsapp

News.nextcloud.asia –

Alat malware baru yang memungkinkan pelaku kejahatan dunia maya membuat pintasan Windows berbahaya (.LNK) file telah terlihat untuk dijual di forum kejahatan dunia maya.

Dijuluki Quantum Lnk Builderperangkat lunak memungkinkan untuk memalsukan ekstensi apa pun dan memilih dari lebih dari 300 ikon, belum lagi dukungan UAC dan Layar Cerdas Windows bypass serta file “multiple payloads per .LNK”. Juga ditawarkan kemampuan untuk menghasilkan muatan .HTA dan disk image (.ISO).

Quantum Builder tersedia untuk disewa pada titik harga yang berbeda: €189 per bulan, €355 untuk dua bulan, €899 selama enam bulan, atau sebagai pembelian sekali seumur hidup seharga €1.500.

“File .LNK adalah file pintasan yang merujuk file, folder, atau aplikasi lain untuk membukanya,” peneliti Cyble dikatakan dalam sebuah laporan. “Itu [threat actor] memanfaatkan file .LNK dan menjatuhkan muatan berbahaya menggunakan LOLBin [living-off-the-land binaries].”

Bukti awal sampel malware menggunakan Quantum Builder di alam liar dikatakan berasal dari tanggal 24 Mei, dengan mereka menyamar sebagai file teks yang tampak tidak berbahaya (“test.txt.lnk”).

“Secara default, Windows menyembunyikan ekstensi .LNK, jadi jika sebuah file bernama file_name.txt.lnk, maka hanya file_name.txt yang akan terlihat oleh pengguna meskipun opsi show file extension diaktifkan,” kata para peneliti. “Untuk alasan seperti itu, ini mungkin pilihan yang menarik untuk TA, menggunakan file .LNK sebagai penyamaran atau tabir asap.”

Peluncuran file .LNK mengeksekusi kode PowerShell yang, pada gilirannya, menjalankan file aplikasi HTML (“bdg.hta”) yang dihosting di situs web Quantum (“quantum-software[.]online”) menggunakan MSHTAutilitas Windows yang sah yang digunakan untuk menjalankan file HTA.

Quantum Builder dikatakan berbagi hubungan dengan Lazarus Group yang berbasis di Korea Utara berdasarkan tumpang tindih tingkat kode sumber dalam alat dan modus operandi yang terakhir memanfaatkan file .LNK untuk mengirimkan muatan tahap lebih lanjut, yang menunjukkan potensi penggunaannya oleh aktor APT dalam serangan.

Keamanan cyber

Perkembangan ini terjadi saat operator di belakang Bumblebee dan Emotet beralih ke file .LNK sebagai saluran untuk memicu rantai infeksi menyusul keputusan Microsoft untuk menonaktifkan makro Visual Basic for Applications (VBA) secara default di seluruh produknya awal tahun ini.

Bumblebee, pengganti malware BazarLoader yang pertama kali terlihat pada bulan Maret, berfungsi sebagai pintu belakang yang dirancang untuk memberi penyerang akses terus-menerus ke sistem yang disusupi dan pengunduh malware lain, termasuk Cobalt Strike dan Sliver.

Kemampuan malware juga menjadikannya alat pilihan bagi pelaku ancaman, dengan 413 insiden infeksi Bumblebee dilaporkan pada Mei 2022, naik dari 41 pada April, menurut Cyble.

“Bumblebee adalah pemuat malware baru dan sangat canggih yang menggunakan manuver mengelak ekstensif dan trik anti-analisis, termasuk teknik anti-virtualisasi yang kompleks,” para peneliti dikatakan. “Ini kemungkinan akan menjadi alat yang populer bagi kelompok ransomware untuk mengirimkan muatan mereka.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.