На просторах хакерских форумов появился новый инструмент Quantum LNK Builder, предназначенный для создания вредоносных ярлыков Windows, известных как файлы .LNK. lnk — это файлы ярлыков, которые ссылаются на другие файлы, папки или приложения для их открытия. Софт достаточно эффективный и позволяет подделывать почти любое расширение и выбирать из более чем 300 вариантов, не говоря уже о поддержке UAC и обхода Windows SmartScreen. На борту имеется несколько полезных нагрузок для файлов .LNK, а также предлагаются возможности для создания полезной нагрузки файлов .HTA и образов диска .ISO. Quantum Lnk Builder выставлен на продажу на нескольких подпольных площадках и цена зависит от плана подписки. Например: 189 евро в месяц, 355 евро на два месяца, 899 евро на шесть месяцев или 1500 евро на бессрочное использование. По такой цене можно сказать, что почти даром. И, вероятно, не зря исследователи из Cyble стали наблюдать всплеск использования файлов .lnk несколькими семействами вредоносных программ, такими как Emotet, Bumblebee , Qbot и Icedid. Причем некоторые APT, также используют эти файлы для первоначального выполнения, чтобы доставить конечную полезную нагрузку. Более того, специалистами утверждается, что Quantum Builder имеет общие связи с северокорейскими хакерами Lazarus. Утверждение сделано на основе совпадения исходного кода в инструменте и методах работы последнего по использованию файлов .LNK для доставки дополнительных полезных нагрузок в своих атаках. Примечательно, что Windows по умолчанию скрывает расширение .lnk. Если файл называется имя_файла.txt.lnk, то пользователю будет виден только файл имя_файла.txt, даже если включена опция отображения расширения файла. Собственно, очевидно почему злоумышленники используют файлы ярлыков в качестве маскировки.