The Hacker Newsは6月23日(米国時間)、「New 'Quantum' Builder Lets Attackers Easily Create Malicious Windows Shortcuts」において、Windowsショートカットファイルを悪用した新たなマルウェアの登場について伝えた。「Quantum Lnk Builder」と名付けられたそのマルウェアはサイバー犯罪フォーラムで販売されていたという。

  • New 'Quantum' Builder Lets Attackers Easily Create Malicious Windows Shortcuts

    New 'Quantum' Builder Lets Attackers Easily Create Malicious Windows Shortcuts

Quantum Lnk Builderは、ショートカットファイルである「.lnk」ファイルを使って悪意のあるペイロードを読み込むLOLBins (living-off-the-land binaries)攻撃型マルウェア。サイバー犯罪フォーラムにサブスクリプションプランや一括購入で売りに出されていた。

ファイル拡張子の表示オプションを有効にしていたとしても.lnkファイルは標準で非表示に設定されているため悪用されてしまう。例えば、ファイル名が実際にはfile_name.txt.lnkでもfile_name.txtと表示されてしまうという。ユーザが間違って.lnkファイルをクリックするとPowerShellによって悪意のあるペイロードが読み込まれ実行されてしまう。

セキュリティ研究者はQuantum Lnk Builderがペイロードの配信に.lnkファイルを使う点やLazarus Groupが扱うソースコードを利用していることから、北朝鮮を拠点にしている持続的標的型攻撃(APT: Advanced Persistent Threat)グループであるLazarus Groupと関連していると分析。

Microsoftが製品全体でVisual Basic for Applications(VBA)マクロをデフォルトで無効にする決定を行ったことから感染チェーンをトリガーするための導管として.lnkファイルを使うマルウェアが登場し始めているとみている。