Alat malware baru yang memungkinkan pelaku kejahatan siber membuat file pintasan Windows (.LNK) berbahaya telah terlihat dijual di forum kejahatan siber.
Dijuluki Quantum Lnk Builder, perangkat lunak ini memungkinkan untuk memalsukan ekstensi apa pun dan memilih dari lebih dari 300 ikon, belum lagi mendukung pintasan UAC dan Windows SmartScreen serta file “multiple payloads per .LNK”. Juga ditawarkan kemampuan untuk menghasilkan muatan .HTA dan disk image (.ISO).
Quantum Builder tersedia untuk disewa pada titik harga yang berbeda: €189 per bulan, €355 untuk dua bulan, €899 selama enam bulan, atau sebagai pembelian sekali seumur hidup seharga €1.500.
“File .LNK adalah file pintasan yang merujuk file, folder, atau aplikasi lain untuk membukanya,” kata peneliti Cyble dalam sebuah laporan. “Itu [threat actor] memanfaatkan file .LNK dan menjatuhkan muatan berbahaya menggunakan LOLBins [living-off-the-land binaries].”
Bukti awal sampel malware yang menggunakan Quantum Builder di alam liar dikatakan berasal dari tanggal 24 Mei, menyamar sebagai file teks yang tampak tidak berbahaya (“test.txt.lnk”).
“Secara default, Windows menyembunyikan ekstensi .LNK, jadi jika sebuah file bernama file_name.txt.lnk, maka hanya file_name.txt yang akan terlihat oleh pengguna meskipun opsi show file extension diaktifkan,” kata para peneliti. “Untuk alasan seperti itu, ini mungkin pilihan yang menarik untuk TA, menggunakan file .LNK sebagai penyamaran atau tabir asap.”
Peluncuran file .LNK mengeksekusi kode PowerShell yang, pada gilirannya, menjalankan file aplikasi HTML (“bdg.hta”) yang dihosting di situs web Quantum (“quantum-software[.]online”) menggunakan MSHTA, utilitas Windows yang sah yang digunakan untuk menjalankan file HTA.
Quantum Builder dikatakan berbagi hubungan dengan Lazarus Group yang berbasis di Korea Utara berdasarkan tumpang tindih tingkat kode sumber dalam alat dan modus operandi yang terakhir memanfaatkan file .LNK untuk mengirimkan muatan tahap lebih lanjut, yang menunjukkan potensi penggunaannya oleh aktor APT dalam serangan.
Perkembangan ini terjadi saat operator di belakang Bumblebee dan Emotet beralih ke file .LNK sebagai saluran untuk memicu rantai infeksi menyusul keputusan Microsoft untuk menonaktifkan makro Visual Basic for Applications (VBA) secara default di seluruh produknya awal tahun ini.
Bumblebee, pengganti malware BazarLoader yang pertama kali terlihat pada bulan Maret, berfungsi sebagai pintu belakang yang dirancang untuk memberi penyerang akses terus-menerus ke sistem yang disusupi dan pengunduh malware lain, termasuk Cobalt Strike dan Sliver.
Kemampuan malware juga menjadikannya alat pilihan bagi pelaku ancaman, dengan 413 insiden infeksi Bumblebee dilaporkan pada Mei 2022, naik dari 41 pada April, menurut Cyble.
“Bumblebee adalah pemuat malware baru dan sangat canggih yang menggunakan manuver mengelak ekstensif dan trik anti-analisis, termasuk teknik anti-virtualisasi yang kompleks,” kata para peneliti. “Ini kemungkinan akan menjadi alat yang populer bagi kelompok ransomware untuk mengirimkan muatan mereka.”