Dark Web: Quantum Builder produziert RAT-Malware

B2B Cyber Security ShortNews
Anzeige

Beitrag teilen

Im Dark Web wird der Quantum Builder angeboten und diverse Varianten des Remote Access Trojaner (RAT) Agent Tesla zu verbreiten. Insgesamt setzt die Malware auf LNK-Dateien (Windows-Verknüpfungen) zur Verbreitung des Trojaners. Für Cyberkriminelle Partner gibt es sogar ein Servicepaket.

Agent Tesla, ein seit 2014 auf .NET-basierter Keylogger und Fernzugriffstrojaner (RAT), wird aktuell über einen im Dark Web verkauften Builder namens „Quantum Builder“ verbreitet. Die Sicherheitsforscher des Zscaler-ThreatlabZ-Teams haben die aktuelle Kampagne untersucht und eine Weiterentwicklung festgestellt. Die Malware-Autoren setzen nun auf LNK-Dateien (Windows-Verknüpfungen) zur Verbreitung der Payload, für deren Erstellung Quantum Builder (auch bekannt als „Quantum Lnk Builder“) verwendet wird. Der Builder wurde bereits bei Kampagnen in Verbindung mit dem RedLine Stealer, IcedID, GuLoader, dem RemcosRAT und dem AsyncRAT nachgewiesen.

Anzeige

Bösartige Windows-Verknüpfungen – LNKs

In der aktuellen Kampagne verwenden die Bedrohungsakteure Quantum Builder, um bösartige LNK-, HTA- und PowerShell-Nutzdaten zu generieren, die dann Agent Tesla auf die Zielcomputer übertragen. Die vom Builder generierten Payloads verwenden ausgefeilte Techniken wie die Umgehung der Benutzerkontensteuerung mit der Microsoft Connection Manager Profile Installer (CMSTP)-Binärdatei, um die endgültige Payload mit administrativen Rechten auszuführen und Windows Defender zu umgehen. Es kommt eine mehrstufige Infektionskette zum Einsatz, die verschiedene Angriffsvektoren mit LOLBins integriert. Um die Erkennung zu umgehen, werden PowerShell-Skripts im Arbeitsspeicher ausgeführt. Darüber hinaus werden die Opfer durch unterschiedliche Täuschungsmanöver von der Infektion abgelenkt.

Start mit Spear-Phishing-E-Mail

Die Infektionskette beginnt mit einer Spear-Phishing-E-Mail, die eine LNK-Datei in Form eines GZIP-Archivs enthält. Nach der Ausführung der LNK-Datei ruft der eingebettete PowerShell-Code MSHTA auf, der die auf dem Remote-Server gehostete HTA-Datei ausführt. Die HTA-Datei entschlüsselt dann ein PowerShell-Loader-Skript, das ein weiteres PowerShell-Skript entschlüsselt und lädt, nachdem es eine AES-Entschlüsselung und GZIP-Dekomprimierung durchgeführt hat. Das entschlüsselte PowerShell-Skript ist das Downloader-PS-Skript, das zunächst die Agent-Tesla-Binärdatei von einem Remote-Server herunterlädt und sie dann mit administrativen Rechten ausführt, indem es eine UAC-Umgehung mit CMSTP durchführt.

Anzeige

Der Builder verwendet außerdem Techniken wie Decoys, UAC Prompts und In-Memory PowerShell, um die endgültige Payload auszuführen. Sie alle werden immer wieder aktualisiert, es handelt sich also um ein Servicepaket der Malware-Entwickler.

Servicepaket für Cyberkriminelle Partner

Bedrohungsakteure entwickeln ihre Taktiken ständig weiter und nutzen dafür Software wie Malware-„Builder“, die auf einschlägigen Cybercrime-Marktplätzen im Darknet verkauft werden. Die Agent Tesla-Kampagne ist die jüngste einer Reihe von ähnlich aufgebauten Aktivitäten, bei denen Quantum Builder zur Erstellung bösartiger Nutzdaten in Kampagnen gegen Organisationen verwendet wurde. Die eingesetzten Techniken werden von den Malware-Entwicklern regelmäßig aktualisiert und an die neuen Sicherheitsmechanismen angepasst.

Mehr bei Zscaler.com

 


Über Zscaler

Zscaler beschleunigt die digitale Transformation, damit Kunden agiler, effizienter, widerstandsfähiger und sicherer werden können. Zscaler Zero Trust Exchange schützt Tausende von Kunden vor Cyberangriffen und Datenverlusten, indem es Nutzer, Geräte und Anwendungen an jedem Standort sicher verbindet. Die SSE-basierte Zero Trust Exchange ist die weltweit größte Inline-Cloud-Sicherheitsplattform, die über mehr als 150 Rechenzentren auf der ganzen Welt verteilt ist.


 

Passende Artikel zum Thema

Hacker: Bildungsverlag verliert wohl Terabytes an Daten

Pearson, ein weltweit führendes Unternehmen im Bildungsbereich, wurde Opfer eines Cyberangriffs, bei dem Kundendaten kompromittiert wurden. Laut verschiedener Medien sollen ➡ Weiterlesen

Nordkoreanische APT-Gruppe nutzt russische Internet-Infrastruktur

Eine neue Experten-Analyse zur nordkoreanischen APT-Gruppe Void Dokkaebi. Die Untersuchung zeigt, wie die Gruppe gezielt russische Internet-Infrastruktur nutzt, um Krypto-Diebstähle ➡ Weiterlesen

Fehlerhafte ASUS-Software lässt Malware-Installationen zu 

Die vorinstallierte ASUS DriverHub-Software weist eine kritische Sicherheitslücke auf, die Angreifern Remote-Code-Ausführung von Malware ermöglicht. Durch die fehlerhafte Prüfung von ➡ Weiterlesen

Play-Ransomware nutzt Windows Zero-Day-Schwachstelle 

Die Ransomware-Gruppe Play und verbündete Gruppen nutzen laut Symantec einen Exploit der auf die Zero-Day-Sicherheitslücke CVE-2025-29824 abzielt. Die Schwachstelle wurde ➡ Weiterlesen

Samsung-Server-Software von Exploit attackiert

In Samsung MagicINFO 9 wurde bereits im August 2024 eine Schwachstelle entdeckt. Nachdem im April ein Forschungsbericht veröffentlicht wurde, tauchte ➡ Weiterlesen

MITRE CVE-Programm bleibt vorerst bestehen

Das von der US-Regierung finanzierte CVE-Programm gilt als entscheidender Baustein zur globalen Aufdeckung von Softwarefehlern. Nun soll die Finanzierung vorübergehend ➡ Weiterlesen

Leak-Seite von LockBit gehackt und Daten gestohlen

Nun wurde auch LockBit das Opfer eines anderen Hackers: Es wurde wohl nicht nur die Leak-Seite der Gruppe gehackt, sondern ➡ Weiterlesen

F5 BIG-IP: BSI warnt vor hochgefährlichen Schwachstellen

Das BSI hat eine Warnung herausgegeben zu F5-Produkten, da diese mehrere hochgefährliche Sicherheitslücken aufweisen die geschlossen werden sollten. Die BIG-IP ➡ Weiterlesen