新的“Quantum”生成器允许攻击者轻松创建恶意的Windows快捷方式

在网络犯罪论坛上发现了一种新的恶意软件工具，该工具使网络犯罪参与者能够构建恶意的Windows快捷方式（.LNK）文件。

配音Quantum Lnk生成器，该软件可以欺骗任何扩展名并从300多个图标中进行选择，更不用说支持UAC和Windows SmartScreen旁路以及“每个.LNK文件有多个有效负载”。还提供了生成的功能。HTA和磁盘映像（.ISO）有效载荷。

Quantum Builder可在不同价位租赁：€；189个月，€；355个月，€；899六个月，或一次性终身购买€；1,500.

Cyble研究人员在一份报告中说：“LNK文件是引用其他文件、文件夹或应用程序来打开它们的快捷方式文件。”。“The[threat actor]利用.LNK文件并使用LOLBins[以陆地二进制文件为生]丢弃恶意有效载荷。”

早期的证据表明，在野外使用Quantum Builder的恶意软件样本可以追溯到5月24日，它们伪装成看起来无害的文本文件（“test.txt.lnk”）。

研究人员说：“默认情况下，Windows会隐藏.LNK扩展名，因此如果文件名为file\u name.txt.LNK，那么即使启用了显示文件扩展名选项，用户也只能看到file\u name.txt。”。“由于这些原因，这对于助教来说可能是一个很有吸引力的选择，使用.LNK文件作为伪装或烟幕。”

正在启动。LNK文件执行PowerShell代码，该代码反过来运行托管在Quantum网站上的HTML应用程序（“bdg.hta”）文件（“Quantum软件[.]使用MSHTA，一个用于运行HTA文件的合法Windows实用程序。

据说Quantum Builder与朝鲜的Lazarus集团有着共同的关系，其基础是该网络安全工具的源代码级别重叠以及后者的利用方式。LNK文件，用于交付进一步阶段的有效载荷，表明APT参与者在其攻击中可能使用该文件。

大黄蜂（Bumblebee）和Emotet的运营商正在转向。今年早些时候，微软决定在其产品中默认禁用Visual Basic for Applications（VBA）宏，LNK文件作为触发感染链的渠道。

Bumblebee是3月份首次发现的BazarLoader恶意软件的替代品，其功能是作为后门，旨在让攻击者持续访问受损系统，并为其他恶意软件（包括Cobalt Strike和Sliver）提供下载程序。

Cyble称，该恶意软件的功能也使其成为威胁行为者的首选工具，2022年5月报告了413起大黄蜂感染事件，高于4月的41起。