Quantum Builder se ofrece en Dark Web y se distribuyen varias variantes del troyano de acceso remoto (RAT) Agent Tesla. En general, el malware se basa en archivos LNK (accesos directos de Windows) para propagar el troyano. Incluso hay un paquete de servicios para socios ciberdelincuentes.
El agente Tesla, un keylogger y troyano de acceso remoto (RAT) basado en .NET desde 2014, se distribuye actualmente a través de un constructor vendido en la Dark Web llamado "Quantum Builder". Los investigadores de seguridad del equipo Zscaler ThreatlabZ examinaron la campaña actual e identificaron una evolución. Los creadores de malware ahora confían en los archivos LNK (accesos directos de Windows) para propagar la carga útil, que se utiliza para crear Quantum Builder (también conocido como "Quantum Lnk Builder"). El constructor ya ha sido probado en campañas vinculadas a RedLine Stealer, IcedID, GuLoader, RemcosRAT y AsyncRAT.
Accesos directos maliciosos de Windows: LNK
En la campaña actual, los actores de amenazas usan Quantum Builder para generar cargas maliciosas de LNK, HTA y PowerShell, que luego el agente Tesla inserta en las computadoras seleccionadas. Las cargas útiles generadas por el constructor utilizan técnicas sofisticadas, como la omisión de UAC mediante el binario del instalador de perfiles de Microsoft Connection Manager (CMSTP) para ejecutar la carga útil final con privilegios administrativos y omitir Windows Defender. Se utiliza una cadena de infección de varias etapas, que integra varios vectores de ataque con LOLBins. Para eludir la detección, los scripts de PowerShell se ejecutan en la memoria. Además, las víctimas se distraen de la infección mediante varias maniobras engañosas.
Comience con el correo electrónico de phishing selectivo
La cadena de infección comienza con un correo electrónico de spear phishing que contiene un archivo LNK en forma de archivo GZIP. Después de ejecutar el archivo LNK, el código integrado de PowerShell llama a MSHTA, que ejecuta el archivo HTA alojado en el servidor remoto. Luego, el archivo HTA descifra un script de carga de PowerShell, que descifra y carga otro script de PowerShell después de realizar un descifrado AES y una descompresión GZIP. El script de PowerShell descifrado es el script Downloader PS, que primero descarga el binario del Agente Tesla desde un servidor remoto y luego lo ejecuta con privilegios administrativos realizando una omisión de UAC con CMSTP.
El constructor también usa técnicas como señuelos, indicaciones de UAC y PowerShell en memoria para ejecutar la carga útil final. Todos se actualizan constantemente, por lo que es un paquete de servicio de los desarrolladores de malware.
Paquete de servicios para socios ciberdelincuentes
Los actores de amenazas evolucionan constantemente sus tácticas utilizando software como "constructores" de malware que se venden en los mercados relevantes de delitos cibernéticos de la web oscura. La campaña del Agente Tesla es la última de una serie de actividades estructuradas de manera similar que utilizaron Quantum Builder para crear cargas maliciosas en campañas contra la organización. Los desarrolladores de malware actualizan periódicamente las técnicas utilizadas y las adaptan a los nuevos mecanismos de seguridad.
Más en Zscaler.com
Acerca de Zscaler Zscaler acelera la transformación digital para que los clientes puedan volverse más ágiles, eficientes, resilientes y seguros. Zscaler Zero Trust Exchange protege a miles de clientes de ataques cibernéticos y pérdida de datos al conectar personas, dispositivos y aplicaciones de forma segura en cualquier lugar. Zero Trust Exchange basado en SSE es la plataforma de seguridad en la nube en línea más grande del mundo, distribuida en más de 150 centros de datos en todo el mundo.