Ein neues Malware-Tool, mit dem Cyberkriminelle bösartige Windows-Verknüpfungsdateien (.LNK) erstellen können, wurde in Cybercrime-Foren zum Verkauf entdeckt.
Die Software mit dem Namen Quantum Lnk Builder ermöglicht es, jede beliebige Dateierweiterung zu fälschen und aus über 300 Symbolen auszuwählen. Außerdem unterstützt sie die Umgehung von UAC und Windows SmartScreen sowie „mehrere Nutzdaten pro .LNK-Datei“. Außerdem kann er .HTA- und ISO-Payloads erzeugen.
Quantum Builder kann zu verschiedenen Preisen gemietet werden: 189 € pro Monat, 355 € für zwei Monate, 899 € für sechs Monate oder als einmaliger Kauf auf Lebenszeit für 1.500 €.
„.LNK-Dateien sind Verknüpfungsdateien, die auf andere Dateien, Ordner oder Anwendungen verweisen, um sie zu öffnen“, so die Cyble-Forscher in einem Bericht. „Der [Bedrohungsakteur] macht sich die .LNK-Dateien zunutze und schleust mithilfe von LOLBins [living-off-the-land binaries] bösartige Nutzdaten ein.“
Erste Hinweise auf Malware-Samples, die Quantum Builder in freier Wildbahn nutzen, stammen vom 24. Mai, getarnt als harmlos aussehende Textdateien („test.txt.lnk“).
„Wenn also eine Datei den Namen Dateiname.txt.lnk trägt, ist für den Benutzer nur Dateiname.txt sichtbar, auch wenn die Option Dateierweiterung anzeigen aktiviert ist“, so die Forscher. „Aus diesen Gründen könnte dies eine attraktive Option für TAs sein, die die .LNK-Dateien als Tarnung oder Deckmantel verwenden.
Beim Starten der .LNK-Datei wird PowerShell-Code ausgeführt, der wiederum eine HTML-Anwendungsdatei („bdg.hta“) auf der Quantum-Website („quantum-software[.]online“) mit MSHTA, einem legitimen Windows-Dienstprogramm zur Ausführung von HTA-Dateien, startet.
Es wird vermutet, dass Quantum Builder mit der Lazarus Group mit Sitz in Nordkorea in Verbindung steht. Die Überschneidungen im Quellcode des Tools und die Vorgehensweise der Lazarus Group bei der Nutzung von .LNK-Dateien zur Übermittlung weiterer Nutzdaten deuten darauf hin, dass das Tool von APT-Akteuren für ihre Angriffe genutzt werden könnte.
Die Entwicklung kommt zu einem Zeitpunkt, an dem die Betreiber von Bumblebee und Emotet auf .LNK-Dateien als Mittel zum Auslösen von Infektionsketten umsteigen, nachdem Microsoft Anfang des Jahres beschlossen hat, Visual Basic for Applications (VBA)-Makros in seinen Produkten standardmäßig zu deaktivieren.
Bumblebee, ein Ersatz für die Malware BazarLoader, die erstmals im März entdeckt wurde, fungiert als Hintertür, die den Angreifern dauerhaften Zugang zu kompromittierten Systemen verschafft, und als Downloader für andere Malware, darunter Cobalt Strike und Sliver.
Laut Cyble wurden im Mai 2022 413 Fälle von Bumblebee-Infektionen gemeldet, im April waren es noch 41.
„Bumblebee ist ein neuer und hochentwickelter Malware-Loader, der umfangreiche Ausweichmanöver und Anti-Analyse-Tricks einsetzt, einschließlich komplexer Anti-Virtualisierungstechniken“, so die Forscher. „Er wird wahrscheinlich zu einem beliebten Werkzeug für Ransomware-Gruppen werden, um ihre Nutzlast zu übermitteln“.