Underc0de

Foros Generales => Noticias Informáticas => Mensaje iniciado por: Dragora en Junio 23, 2022, 09:03:55 PM

Título: Ataques de Windows 'LNK' se simplifican con el nuevo constructor Quantum
Publicado por: Dragora en Junio 23, 2022, 09:03:55 PM
(https://i.imgur.com/CzQNlFD.png)

Los investigadores de malware notaron una nueva herramienta que ayuda a los ciberdelincuentes a crear archivos .LNK maliciosos para entregar cargas útiles para las etapas iniciales de un ataque.

Los LNK son archivos de acceso directo de Windows que pueden contener código malicioso para abusar de herramientas legítimas en el sistema, los llamados binarios living-off-the-land (LOLBins), como PowerShell o el MSHTA que se usa para ejecutar Microsoft HTML Application (HTA ) archivos.

Debido a esto, los LNK se usan ampliamente para la distribución de malware, especialmente en campañas de phishing, y algunas familias de malware notables que los usan actualmente son Emotet , Bumblebee , Qbot e IcedID .

Constructor de LNK cuántico

Los investigadores de Cyble han descubierto una nueva herramienta para crear LNK maliciosos llamada Quantum, que cuenta con una interfaz gráfica y ofrece una construcción de archivos conveniente a través de un amplio conjunto de opciones y parámetros (por ejemplo, suplantación de identidad, selección de iconos de más de 300 opciones disponibles).

La herramienta se alquila por 189€ al mes, 335€ por dos meses, 899€ por seis meses, o pago único de 1.500€ para acceso de por vida.

(https://i.imgur.com/wwMv3bV.png)
Folleto promocional de Quantum (Cyble)

Quantum ofrece omisión de UAC, omisión de Windows Smartscreen, la capacidad de cargar múltiples cargas útiles en un solo archivo LNK, ocultación posterior a la ejecución, inicio o ejecución retrasada.

Sus autores afirman que los archivos generados con Quantum son 100 % FUD, o totalmente indetectables, lo que indica que los motores antivirus y los mecanismos de protección del sistema operativo no los marcan como sospechosos o peligrosos.

Finalmente, Quantum también ofrece la opción de crear archivos HTA e ISO, que normalmente van de la mano en ataques que involucran LNK, con todo incluido dentro de los archivos de imagen de disco.

(https://i.imgur.com/dUg8aws.png)
Pantalla de construcción ISO en Quantum (Cyble)

Otra característica interesante de Quantum es la implementación de un exploit dogwalk n-day en la herramienta de diagnóstico de soporte de Microsoft (MSDT), que utiliza un archivo .diagcab para realizar la ejecución de código arbitrario.

Lazos con Lazarus

El análisis de Cyble de muestras recientes de LNK capturadas en la naturaleza indica que bandas notorias de APT como Lazarus podrían estar usando Quantum para sus ataques.

El archivo particular utilizado en la campaña es "Password.txt.lnk", que aparece como un archivo de texto con una contraseña para un documento PDF protegido que supuestamente ofrece un análisis de moneda estable.

El script de PowerShell que se ejecuta al abrir el archivo LNK es muy similar a los scripts utilizados por Lazarus en campañas recientes, lo que indica una posible conexión.

(https://i.imgur.com/OTmGBN0.png)
Comparación a nivel de código de scripts de PowerShell (Cyble)

Siempre que el uso de archivos LNK sea efectivo para los actores maliciosos, se espera que continúe la tendencia creciente en su implementación.

Herramientas como Quantum están acelerando aún más la tendencia de adopción y hacen que la elección de los archivos LNK sea más atractiva para los ciberdelincuentes.

Se recomienda a los usuarios que permanezcan atentos y analicen todos los archivos que reciben por correo electrónico con una herramienta antivirus antes de ejecutarlos.

Fuente: https://www.bleepingcomputer.com