Quantum Builder

Cybersicherheitsforscher haben Licht auf ein mächtiges, bedrohliches Tool namens Quantum Builder (Quantum Software) geworfen, das es Angreifern ermöglicht, bewaffnete .lnk-Dateien zu erstellen. LNKs sind Verknüpfungsdateien auf Windows-Systemen, die beschädigten Code enthalten können. Bedrohungsakteure können dies missbrauchen, um legitime Tools auszunutzen, die auf dem angegriffenen System gefunden werden, wie PowerShell oder MSHTA (zur Ausführung von Microsoft HTML-Anwendungsdateien).

Details über den Quantum Builder wurden in einem von Forschern veröffentlichten Bericht veröffentlicht. Sie entdeckten, dass die Bedrohung potenziellen Bedrohungsakteuren zum Verkauf angeboten wurde. Der Preis wurde auf 189 € pro Monat, 335 € für zwei Monate und 899 € für sechs Monate festgelegt. Für den lebenslangen Zugriff müssten die Möchtegern-Kriminellen eine einmalige Zahlung von 1.500 Euro leisten. Der Builder verfügt über eine grafische Benutzeroberfläche und einen umfangreichen Satz von Optionen und Parametern, um die Erstellung beschädigter LNKs zu erleichtern.

Darüber hinaus wird Quantum als vollständig nicht nachweisbar beworben, was bedeuten würde, dass keine Anti-Malware-Engines oder Cybersicherheitsschutzmechanismen es als potenziell verdächtig oder direkt bedrohlich kennzeichnen können. Darüber hinaus kann es die Windows UAC (Benutzerkontensteuerung) sowie Windows Smartscreen umgehen. Die Bedrohung kann auch eine einzelne LNK-Datei verwenden, um mehrere bedrohliche Payloads zu laden. Abgesehen von LNKs ermöglicht der Quantum Builder Angreifern, HTA-Dateien und sogar ISO-Archive zu erstellen, die oft als Mittel verwendet werden, um alle schädlichen Komponenten in das Disk-Image zu packen.

Die Forscher entdeckten eine weitere Besonderheit des Quantum Builders. Anscheinend könnte die Bedrohung es den Angreifern möglicherweise ermöglichen, über einen Dogwalk-N-Day-Exploit willkürlichen Code auszuführen. Die Schwachstelle betrifft das Microsoft Support Diagnostic Tool (MSDT).