Quantum Lnk Builder, un générateur de raccourcis malveillants pour Windows

Quantum Lnk Builder, un générateur de raccourcis malveillants pour Windows

L’unité de recherche de Cyble, une start-up américaine de cybersécurité, a récemment découvert un nouveau générateur de raccourcis malveillants baptisé Quantum Lnk Builder. Les chercheurs sont tombés sur cet outil en remontant à l’origine des fichiers .lnk, largement utilisés par les acteurs de menaces ces derniers temps. 

Un outil disponible à la location et à la vente

Cyble est un fournisseur SaaS de renseignements sur les menaces. La start-up américaine aide les entreprises à se protéger contre les cybercrimes. Son centre de recherche, le Cyble Research Labs, suit en permanence les menaces émergentes et leur mécanisme de diffusion.

Les chercheurs de la startup ont récemment observé que de plus en plus d’acteurs malveillants utilisent les fichiers .lnk (des fichiers de raccourcis malveillants) pour fournir la charge utile. Ces fichiers seraient générés par un outil surnommé Quantum Lnk Builder.

Cet outil serait capable d’usurper toutes les extensions. Il propose par ailleurs près de 300 icônes pour les fichiers malveillants. Quantum Lnk Builder est disponible en location mensuelle à raison de 200 dollars (soit 189 euros environ). 

Il faut compter 375 dollars (355 euros) pour deux mois. Pour ceux qui souhaitent un abonnement sur 6 mois, l’outil est disponible pour 950 dollars (soit 899 euros environ). Les utilisateurs peuvent également acquérir Quantum Lnk Builder pour 1 585 dollars (1 500 euros).

Quantum Lnk Builder aide à échapper à la détection

En plus de générer des extensions et créer des fichiers de raccourcis malveillants, Quantum Lnk Builder possède aussi la capacité d’échapper aux mécanismes de détection. Il permet notamment de contourner l’User Account Control (UAC) de Windows

Les fichiers malveillants générés par Quantum Lnk Builder échappent également au contrôle de Windows SmartScreen. Il s’agit d’une technologie opérant en arrière-plan qui empêche l’exécution de logiciels malveillants potentiellement dangereux.

L’outil est par ailleurs capable de créer plusieurs types de charges utiles, des fichiers .hta en l’occurrence (fichiers HTML Application) mais aussi des fichiers .iso (copie conforme d’un support optique). 

En se basant sur les codes sources et le mode opératoires des fichiers .lnk, les chercheurs évoquent un lien avec le groupe de cybercriminels nord-coréen Lazarus. Par ailleurs, Quantum Lnk Builder serait déjà exploité par de nombreux autres gangs comme Emotet, Bumblebee, Qbot et IcedID. Une prolifération de cette technique d’attaque est à craindre.

Protégez-vous des cybermenaces en installant un logiciel de protection efficace. Choisissez votre solution de sécurité parmi notre top des meilleurs antivirus.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest