I ricercatori di Cyble hanno individuato un nuovo strumento per la creazione di file .lnk malevoli per fornire payload nelle fasi iniziali di un attacco: chiamato Quantum Builder, il tool presenta un’interfaccia grafica molto intuitiva offrendo la possibilità di creare file attraverso un corposo set di opzioni e parametri.
Non si tratta, dunque, di un malware vero e proprio, ma di un software utilizzato dai criminal hacker per diffondere codice malevolo.
Lo strumento viene noleggiato a 189 €/mese, 335 euro per due mesi, 899 euro per sei mesi o con pagamento unico di 1.500 euro per l’accesso a vita.
Indice degli argomenti
I file .lnk come vettore malevolo
I file .lnk sono file di scelta rapida di Windows che possono contenere anche codice dannoso per abusare di strumenti legittimi come i cosiddetti file LOLBins (Living-Off-the-land), file binari nativi dei sistemi operativi di cui fanno parte PowerShell o MSHTA (utilizzato per eseguire file HTA, Microsoft HTML Application).
Per questo motivo, i file .lnk sono ampiamente utilizzati per la distribuzione di malware nelle campagne di phishing. Non a caso vengono impiegati da alcune tra le più importanti famiglie di malware (Emotet, Bumblebee, Qbot e IcedID).
Quantum Builder, le caratteristiche
In un post pubblicato su di un forum, l’attore della minaccia che ha sviluppato Quantum Builder afferma che il tool può falsificare qualsiasi estensione, possiede oltre 300 diverse icone disponibili da associare ai file .lnk dannosi, offre il bypass UAC (User Account Control) e Windows SmartScreen, fornisce la possibilità di caricare più payload su un singolo file .lnk, di nascondere l’esecuzione del payload e di garantirne l’avvio o l’esecuzione ritardata.
Inoltre, sempre secondo la campagna promozionale i file generati da Quantum Builder sarebbero FUD (Fully UnDetectable), indicando che non vengono segnalati come sospetti o pericolosi dai motori antivirus e i meccanismi di protezione dei sistemi operativi.
Infine, un’altra caratteristica interessante sarebbe anche l’implementazione di un exploit n-day dogwalk in Microsoft Support Diagnostic Tool (MSDT) per l’esecuzione di codice arbitrario.
“Il threat actor ha anche affermato di aver implementato un exploit n-day dogwalk. Questa vulnerabilità esiste in Microsoft Support Diagnostic Tool (MSDT) e può portare all’esecuzione di codice se l’utente apre un file .diagcab appositamente predisposto, in genere inviato tramite posta elettronica dagli assistenti tecnici. Il file .diagcab scarica, inoltre, un file dannoso nella cartella di avvio, che verrà eseguito ogni volta che l’utente effettua l’accesso”, si legge nel rapporto dei ricercatori di Cyble.
Quantum Builder, il funzionamento
Gli autori di Quantum builder hanno anche creato un video demo che mostra l’utilizzo del tool di creazione di file .lnk malevoli (https[:]//quantum-software[.]online/demo).
Il funzionamento, secondo un approccio a scatola cinese, risulterebbe abbastanza semplice e si avvarrebbe di tre componenti per arrivare al prodotto finale:
- inizialmente viene creato il payload .hta personalizzandolo con alcune opzioni come i dettagli dell’URL, il supporto DLL, il bypass UAC, il percorso di esecuzione e il ritardo per eseguire il payload;
- successivamente il payload .hta generato viene incorporato nel lnk. Builder creando un nuovo file .lnk con varie icone da scegliere come opzione;
- infine, il builder .iso viene utilizzato per creare l’immagine .iso contenente il file .lnk da consegnare ad esempio tramite e-mail e fare eseguire al malcapitato.
Analisi di un campione
Ulteriori indagini hanno rivelato un post condiviso dallo stesso attore, circa un campione generato utilizzando per l’appunto Quantum Builder. Si tratterebbe di un file di collegamento di Windows .lnk spacciato come file di testo, sfruttando l’impostazione predefinita di Windows che nasconde le estensioni dei file.
Al momento dell’esecuzione, il file .lnk avvia una catena d’infezione che porta, tramite un codice PowerShell e il processo “mshta.exe”, all’esecuzione de file “bdg.hta” ospitato in remoto.
Conclusioni
L’analisi condotta sullo script PowerShell indicherebbe inoltre una possibile connessione con il modo di operare del famigerato gruppo coreano APT Lazarus: “abbiamo osservato che i threat actor utilizzavano file .lnk per fornire carichi utili di ulteriori fasi. Confrontando entrambi gli script, abbiamo scoperto che il ciclo di deoffuscamento e l’inizializzazione delle variabili erano gli stessi, indicando la possibilità di una connessione tra Quantum Builder e il gruppo Lazarus APT”, hanno commentato i ricercatori di Cyble.
D’altronde finché l’utilizzo dei file .lnk risulterà efficace, la loro adozione da parte degli attori criminali tenderà sicuramente ad aumentare sempre più.
Per tutti questi motivi, si consigliano le best practice essenziali elencate dalla stessa Cyble per creare un primo baluardo di difesa:
- astenersi dall’aprire collegamenti e allegati e-mail non attendibili senza verificarne l’autenticità;
- usare password complesse e applicare l’autenticazione a più fattori ove possibile;
- verificare l’origine dei file prima di eseguirli;
- attivare la funzione di aggiornamento automatico del software sul computer, dispositivo mobile e altri dispositivi connessi, ove possibile;
- utilizzare un rinomato pacchetto software antivirus e di sicurezza Internet sui dispositivi collegati, inclusi PC, laptop e dispositivi mobili;
- condurre pratiche di backup regolari e mantenere tali backup offline o in una rete separata.
