Quantum Builder est proposé sur le Dark Web et diverses variantes de l'agent Tesla de cheval de Troie d'accès à distance (RAT) sont distribuées. Dans l'ensemble, le logiciel malveillant s'appuie sur les fichiers LNK (raccourcis Windows) pour propager le cheval de Troie. Il existe même un ensemble de services pour les partenaires cybercriminels.
Agent Tesla, un enregistreur de frappe basé sur .NET et un cheval de Troie d'accès à distance (RAT) depuis 2014, est actuellement distribué via un constructeur vendu sur le Dark Web appelé "Quantum Builder". Les chercheurs en sécurité de l'équipe Zscaler ThreatlabZ ont examiné la campagne actuelle et identifié une évolution. Les auteurs de logiciels malveillants s'appuient désormais sur les fichiers LNK (raccourcis Windows) pour faire proliférer la charge utile, que Quantum Builder (alias "Quantum Lnk Builder") est utilisé pour créer. Le constructeur a déjà fait ses preuves dans des campagnes liées au RedLine Stealer, IcedID, GuLoader, le RemcosRAT et l'AsyncRAT.
Raccourcis Windows malveillants - LNK
Dans la campagne actuelle, les acteurs de la menace utilisent Quantum Builder pour générer des charges utiles LNK, HTA et PowerShell malveillantes, que l'agent Tesla pousse ensuite sur les ordinateurs ciblés. Les charges utiles générées par le générateur utilisent des techniques sophistiquées telles que le contournement UAC à l'aide du binaire CMSTP (Microsoft Connection Manager Profile Installer) pour exécuter la charge utile finale avec des privilèges administratifs et contourner Windows Defender. Une chaîne d'infection à plusieurs étapes est utilisée, qui intègre divers vecteurs d'attaque avec les LOLBins. Pour contourner la détection, les scripts PowerShell s'exécutent en mémoire. De plus, les victimes sont distraites de l'infection par diverses manœuvres trompeuses.
Commencez avec les e-mails de harponnage
La chaîne d'infection commence par un e-mail de spear phishing contenant un fichier LNK sous la forme d'une archive GZIP. Après avoir exécuté le fichier LNK, le code PowerShell intégré appelle MSHTA, qui exécute le fichier HTA hébergé sur le serveur distant. Le fichier HTA déchiffre ensuite un script de chargeur PowerShell, qui déchiffre et charge un autre script PowerShell après avoir effectué un déchiffrement AES et une décompression GZIP. Le script PowerShell décrypté est le script Downloader PS, qui télécharge d'abord le binaire Agent Tesla à partir d'un serveur distant, puis l'exécute avec des privilèges administratifs en effectuant un contournement UAC avec CMSTP.
Le constructeur utilise également des techniques telles que les leurres, les invites UAC et PowerShell en mémoire pour exécuter la charge utile finale. Ils sont tous constamment mis à jour, il s'agit donc d'un service pack des développeurs de logiciels malveillants.
Forfait de services pour partenaires cybercriminels
Les acteurs de la menace font constamment évoluer leurs tactiques à l'aide de logiciels tels que des "créateurs" de logiciels malveillants vendus sur les places de marché pertinentes de la cybercriminalité sur le dark web. La campagne Agent Tesla est la dernière d'une série d'activités structurées de manière similaire qui ont utilisé Quantum Builder pour créer des charges utiles malveillantes dans des campagnes anti-organisation. Les techniques utilisées sont régulièrement mises à jour par les développeurs de logiciels malveillants et adaptées aux nouveaux mécanismes de sécurité.
Plus sur Zscaler.com
À propos de Zscaler Zscaler accélère la transformation numérique afin que les clients puissent devenir plus agiles, efficaces, résilients et sécurisés. Zscaler Zero Trust Exchange protège des milliers de clients contre les cyberattaques et la perte de données en connectant en toute sécurité les personnes, les appareils et les applications partout. Le Zero Trust Exchange basé sur SSE est la plus grande plate-forme de sécurité cloud en ligne au monde, distribuée dans plus de 150 centres de données à travers le monde.