一种新的恶意软件工具使网络犯罪分子能够构建恶意 Windows 快捷方式 ( .LNK ) 文件，该工具已在网络犯罪论坛上被发现出售。

该软件被称为Quantum Lnk Builder，可以欺骗任何扩展并从 300 多个图标中进行选择，更不用说支持UAC和Windows SmartScreen绕过以及“每个 .LNK 文件的多个有效负载”。还提供了生成 .HTA 和磁盘映像 (.ISO) 有效负载的功能。

Quantum Builder 可按不同的价格点出租：每月 189 欧元、两个月 355 欧元、六个月 899 欧元，或一次性终身购买，价格为 1,500 欧元。

“.LNK 文件是引用其他文件、文件夹或应用程序来打开它们的快捷方式文件，”Cyble 研究人员在一份报告中说。“[威胁参与者]利用 .LNK 文件并使用LOLBins [离地二进制文件] 丢弃恶意有效负载。”

在野外使用 Quantum Builder 的恶意软件样本的早期证据据说可以追溯到 5 月 24 日，它们伪装成看起来无害的文本文件（“test.txt.lnk”）。

“默认情况下，Windows 会隐藏 .LNK 扩展名，因此如果一个文件被命名为 file_name.txt.lnk，那么即使启用了显示文件扩展名选项，用户也只能看到 file_name.txt，”研究人员说。“出于这些原因，这对于 TA 来说可能是一个有吸引力的选择，使用 .LNK 文件作为伪装或烟幕。”

启动 .LNK 文件会执行 PowerShell 代码，然后使用MSHTA（一种合法的 Windows 实用程序，用于运行 HTA 文件。

据说 Quantum Builder 与总部位于朝鲜的Lazarus Group建立了联系，这基于该工具的源代码级重叠，以及后者利用 .LNK 文件交付更多阶段有效载荷的作案手法，这表明 APT 参与者在他们的攻击。

在微软今年早些时候决定在其产品中默认禁用Visual Basic for Applications (VBA) 宏之后， Bumblebee和Emotet背后的运营商正在转向使用 .LNK 文件作为触发感染链的渠道。

Bumblebee 是 3 月份首次发现的 BazarLoader 恶意软件的替代品，它的功能是一个后门，旨在让攻击者能够持续访问受感染的系统，并提供其他恶意软件的下载器，包括 Cobalt Strike 和 Sliver。

Cyble 的数据显示，该恶意软件的功能也使其成为威胁参与者的首选工具，2022 年 5 月报告了 413 起 Bumblebee 感染事件，高于 4 月的 41 起。

研究人员说： “Bumblebee 是一种新型且高度复杂的恶意软件加载程序，它采用了广泛的规避策略和反分析技巧，包括复杂的反虚拟化技术。” “它很可能成为勒索软件组织传递有效载荷的流行工具。”