การโจมตีด้วยไฟล์ ‘.LNK’ บน Windows ถูกทำให้ง่ายขึ้นด้วย Quantum builder

นักวิจัยมัลแวร์ได้สังเกตเห็นเครื่องมือใหม่ที่ช่วยให้ผู้โจมตีสร้างไฟล์ .LNK ที่เป็นอันตรายเพื่อส่งเพย์โหลดสำหรับเริ่มการโจมตี

LNKs คือไฟล์ shortcut ของ Windows ที่อาจมีโค้ดอันตรายเพื่อใช้เครื่องมือในระบบอย่างไม่ถูกต้อง เช่น ไบนารีที่เรียกว่า living-off-the-land (LOLBins) เช่น PowerShell หรือ MSHTA ที่ใช้ในการรันไฟล์ Microsoft HTML Application (HTA) ด้วยเหตุนี้ LNK จึงถูกใช้สำหรับการแพร่กระจายมัลแวร์ โดยเฉพาะอย่างยิ่งในแคมเปญฟิชชิ่งโดยกลุ่มมัลแวร์บางกลุ่มที่กำลังใช้ Emotet, Bumblebee, Qbot และ IcedID

Quantum LNK Builder

นักวิจัยจาก Cyble ค้นพบเครื่องมือใหม่สำหรับการสร้าง LNK ที่เป็นอันตรายเรียกว่า Quantum ซึ่งมีกราฟิกอินเทอร์เฟซ และเสนอการสร้างไฟล์ผ่านชุดตัวเลือก และพารามิเตอร์ที่หลากหลาย (เช่น การปลอมแปลง extension, การเลือกไอคอนจากตัวเลือกที่มีอยู่มากกว่า 300 รายการ)

เครื่องมือนี้ให้เช่าในราคา 189 ยูโรต่อเดือน, 335 ยูโรสำหรับสองเดือน, 899 ยูโรสำหรับหกเดือน หรือจ่ายครั้งเดียว 1,500 ยูโรสำหรับการเข้าถึงตลอดชีพ

quantum เสนอการ Bypass UAC, Bypass Windows Smartscreen, ความสามารถในการโหลดเพย์โหลดหลายรายการในไฟล์ LNK ไฟล์เดียว และซ่อน process หลังการเริ่มต้นการทำงาน หรือการหน่วงเวลาการเริ่มทำงาน

ผู้เขียนอ้างว่าไฟล์ที่สร้างด้วย Quantum จะไม่สามารถถูกตรวจจับได้ สุดท้าย Quantum ยังเสนอตัวเลือกในการสร้างไฟล์ HTA และไฟล์ ISO ซึ่งโดยทั่วไปจะเกี่ยวข้องกับ LNK โดยมีทุกอย่างรวมอยู่ในไฟล์อิมเมจของดิสก์

คุณลักษณะที่น่าสนใจของ Quantum คือการใช้ประโยชน์จาก dogwalk n-day exploit บน Microsoft Support Diagnostic Tool (MSDT) ซึ่งจะใช้ไฟล์ .diagcab เพื่อสั่งรันโค้ดได้ตามที่ต้องการ

ความสัมพันธ์กับ Lazarus

การวิเคราะห์ของ Cyble เกี่ยวกับตัวอย่าง LNK ล่าสุดที่ตรวจพบ ระบุว่าแก๊ง APT อย่าง Lazarus อาจมีการใช้ Quantum ในการโจมตี โดยไฟล์ที่ใช้ในแคมเปญคือ “Password.txt.lnk” ซึ่งเป็นไฟล์ text พร้อมรหัสผ่านของไฟล์ PDF ซึ่งบอกว่าเป็นรายงานการวิเคราะห์ stablecoin

สคริปต์ PowerShell ที่จะทำงานเมื่อเปิดไฟล์ LNK นั้นคล้ายกับสคริปต์ที่ Lazarus ใช้ในแคมเปญล่าสุดซึ่งบ่งชี้ถึงความเป็นไปได้ของความเชื่อมโยงกัน

เครื่องมืออย่าง Quantum กำลังถูกนำไปใช้มากขึ้น และทำให้การใช้ไฟล์ LNK เป็นเป้าหมายการโจมตีมากขึ้น ผู้ใช้ควรระมัดระวัง และสแกนไฟล์ทั้งหมดที่ได้รับทางอีเมลโดยใช้เครื่องมือป้องกันไวรัสก่อนที่จะดำเนินการเปิดใช้งาน

ที่มา: bleepingcomputer