Quantum Builder

Les chercheurs en cybersécurité ont mis en lumière un outil puissant et menaçant nommé Quantum Builder (Quantum Software), qui permet aux pirates de créer des fichiers .lnk militarisés. Les LNK sont des fichiers de raccourci sur les systèmes Windows qui peuvent contenir du code corrompu. Les acteurs de la menace peuvent en abuser pour exploiter des outils légitimes trouvés sur le système piraté, tels que PowerShell ou MSHTA (utilisé pour exécuter les fichiers d'application Microsoft HTML).

Des détails sur le Quantum Builder ont été publiés dans un rapport publié par des chercheurs. Ils ont découvert que la menace était proposée à la vente à des acteurs potentiels de la menace. Le prix a été fixé à 189 € par mois, 335 € pour deux mois et 899 € pour six mois. Pour un accès à vie, les criminels potentiels devraient effectuer un paiement unique de 1 500 €. Le constructeur est livré avec une interface graphique et un vaste ensemble d'options et de paramètres pour faciliter la création de LNK corrompus.

De plus, Quantum est annoncé comme étant totalement indétectable, ce qui signifie qu'aucun moteur anti-malware ou mécanisme de protection de la cybersécurité n'est en mesure de le signaler comme potentiellement suspect ou carrément menaçant. De plus, il peut contourner l'UAC (contrôle de compte d'utilisateur) de Windows, ainsi que Windows Smartscreen. La menace a également la capacité d'utiliser un seul fichier LNK pour charger plusieurs charges utiles menaçantes. Outre les LNK, Quantum Builder permet aux acteurs de la menace de créer des fichiers HTA et même des archives ISO, qui sont souvent utilisés comme moyen de regrouper tous les composants nuisibles à l'intérieur de l'image disque.

Les chercheurs ont découvert une autre particularité du Quantum Builder. Apparemment, la menace pourrait potentiellement permettre aux attaquants d'exécuter du code arbitraire via un exploit dogwalk n-day. La vulnérabilité affecte l'outil de diagnostic de support Microsoft (MSDT).