Kötü amaçlı yazılım araştırmacıları, siber suçluların kötü niyetli oluşturmasına yardımcı olan yeni bir araç fark ettiler.
LNKS, sistemdeki meşru araçları kötüye kullanmak için kötü amaçlı kod içerebilen Windows kısayol dosyalarıdır, PowerShell veya Microsoft HTML uygulaması (HTA ) Dosyalar.
Bu nedenle, LNK'ler, özellikle kimlik avı kampanyalarında kötü amaçlı yazılım dağıtımı için yaygın olarak kullanılmaktadır ve şu anda bunları Emotet, Bumblebee, QBOT ve ICEDID olarak kullanan bazı kayda değer yazılım aileleri.
Cyble'daki araştırmacılar, grafik bir arayüze sahip ve zengin bir seçenek ve parametre kümesi (ör. Uzatma sahtekarlığı, 300'den fazla mevcut seçenekten simge seçimi) aracılığıyla uygun dosya oluşturma sunan Quantum adlı kötü niyetli LNK'ler oluşturmak için yeni bir araç tespit ettiler.
Araç ayda 189 €, iki ay boyunca 335 €, altı ay için 899 € veya ömür boyu erişim için 1.500 € ödemeye kiralanıyor.
Quantum, UAC Bypass, Windows SmartScreen Bypass, tek bir LNK dosyasına birden fazla yük yükleme, yürütme sonrası gizleme, başlatma veya gecikmiş yürütme sunar.
Yazarları, kuantum ile oluşturulan dosyaların% 100 fud veya tamamen tespit edilemediğini iddia ederek antivirüs motorlarının ve OS koruma mekanizmalarının bunları şüpheli veya tehlikeli olarak işaretleyemediğini gösteriyor.
Son olarak, Quantum ayrıca, disk görüntü dosyalarının içinde bir araya getirilmiş olan her şey LNK içeren saldırılarda el ele giden HTA dosyaları ve ISO arşivleri oluşturma seçeneği sunar.
Kuantumun bir başka ilginç özelliği, keyfi kod yürütme yapmak için bir .diagCab dosyası kullanan Microsoft Destek Diyagnostik Aracı'nda (MSDT) bir Dogwalk N-Day istismarının uygulanmasıdır.
Cyble’ın vahşi doğada yakalanan son LNK örneklerini analizi, Lazarus gibi kötü şöhretli APT çetelerinin saldırıları için kuantum kullanabileceğini gösteriyor.
Kampanyada kullanılan belirli dosya, bir stableCoin analizi sunan korunan bir PDF belgesi için şifre içeren bir metin dosyası olarak görünen “Password.txt.lnk” dir.
LNK dosyasını açtıktan sonra yürütülen PowerShell komut dosyası, son kampanyalarda Lazarus tarafından kullanılan komut dosyalarına çok benzer ve olası bir bağlantıyı gösterir.
LNK dosyalarının kullanılması kötü amaçlı aktörler için etkili olduğu sürece, dağıtımlarındaki artan eğilimin devam etmesi beklenmektedir.
Quantum gibi araçlar benimseme eğilimini daha da hızlandırıyor ve LNK dosyaları seçimini siber suçlulara daha cazip hale getiriyor.
Kullanıcılara uyanık kalmaları ve aldıkları tüm dosyaları bir anti-virüs aracında e-posta yoluyla taramaları tavsiye edilir.
Haziran Windows Önizleme Güncellemeleri VPN, RDP, RRAS ve Wi-Fi sorunlarını düzeltin
Windows 11 KB5014668 Güncelleme Düzeltmeleri Yükseltme Başarısızlığı, Oyun Kazalar
7-ZIP artık Windows 'Web-of the Web' Güvenlik özelliğini destekliyor
Bu PowerShell Eğitim Paketi ile pencerelerden daha fazlasını elde edin
Yeni DFSCOerce NTLM Röle Saldırısı Windows Etki Alanı Devralmasına izin verir
Kaynak: Bleeping Computer