Quantum Builder

Los investigadores de seguridad cibernética han arrojado luz sobre una herramienta potente y amenazante llamada Quantum Builder (Quantum Software), que permite a los actores de amenazas crear archivos .lnk armados. Los LNK son archivos de acceso directo en los sistemas Windows que pueden contener código corrupto. Los actores de amenazas pueden abusar de esto para explotar herramientas legítimas que se encuentran en el sistema violado, como PowerShell o MSHTA (usado para ejecutar archivos de aplicaciones HTML de Microsoft).

Los detalles sobre Quantum Builder se dieron a conocer en un informe publicado por los investigadores. Descubrieron que la amenaza se ofrecía a la venta a posibles actores de amenazas. El precio se fijó en 189 € al mes, 335 € los dos meses y 899 € los seis meses. Para tener acceso de por vida, los posibles delincuentes tendrían que hacer un pago único de 1500 €. El constructor viene con una interfaz gráfica y un amplio conjunto de opciones y parámetros para facilitar la creación de LNK dañados.

Además, se anuncia que Quantum es totalmente indetectable, lo que significaría que ningún motor antimalware o mecanismo de protección de ciberseguridad puede marcarlo como potencialmente sospechoso o directamente amenazante. Además, puede omitir el UAC de Windows (Control de cuentas de usuario), así como la pantalla inteligente de Windows. La amenaza también tiene la capacidad de usar un solo archivo LNK para cargar múltiples cargas útiles amenazantes. Además de los LNK, Quantum Builder permite a los actores de amenazas crear archivos HTA e incluso archivos ISO, que a menudo se utilizan como medio para empaquetar todos los componentes dañinos dentro de la imagen del disco.

Los investigadores descubrieron otra característica distintiva del Quantum Builder. Aparentemente, la amenaza podría permitir a los atacantes realizar la ejecución de código arbitrario a través de un exploit dogwalk n-day. La vulnerabilidad afecta a la herramienta de diagnóstico de soporte de Microsoft (MSDT).