Il Quantum Builder viene offerto sul Dark Web e vengono distribuite varie varianti del Remote Access Trojan (RAT) Agent Tesla. Nel complesso, il malware si basa sui file LNK (scorciatoie di Windows) per diffondere il trojan. Esiste anche un pacchetto di servizi per i partner criminali informatici.
Agent Tesla, un keylogger basato su .NET e trojan di accesso remoto (RAT) dal 2014, è attualmente distribuito tramite un builder venduto sul Dark Web chiamato "Quantum Builder". I ricercatori di sicurezza del team Zscaler ThreatlabZ hanno esaminato l'attuale campagna e identificato un'evoluzione. Gli autori del malware ora si affidano ai file LNK (scorciatoie di Windows) per proliferare il payload, che Quantum Builder (noto anche come "Quantum Lnk Builder") viene utilizzato per creare. Il builder è già stato provato in campagne legate a RedLine Stealer, IcedID, GuLoader, RemcosRAT e AsyncRAT.
Scorciatoie di Windows dannose: LNK
Nell'attuale campagna, gli attori delle minacce utilizzano Quantum Builder per generare payload LNK, HTA e PowerShell dannosi, che l'agente Tesla invia quindi alle macchine mirate. I payload generati dal builder utilizzano tecniche sofisticate come il bypass UAC utilizzando il file binario Microsoft Connection Manager Profile Installer (CMSTP) per eseguire il payload finale con privilegi amministrativi e bypassare Windows Defender. Viene utilizzata una catena di infezione a più stadi, che integra vari vettori di attacco con LOLBins. Per aggirare il rilevamento, gli script di PowerShell vengono eseguiti in memoria. Inoltre, le vittime vengono distratte dall'infezione con varie manovre ingannevoli.
Inizia con l'e-mail di spear phishing
La catena di infezione inizia con un'e-mail di spear phishing contenente un file LNK sotto forma di archivio GZIP. Dopo aver eseguito il file LNK, il codice PowerShell incorporato chiama MSHTA, che esegue il file HTA ospitato sul server remoto. Il file HTA quindi decrittografa uno script del caricatore di PowerShell, che decrittografa e carica un altro script di PowerShell dopo aver eseguito una decrittografia AES e una decompressione GZIP. Lo script PowerShell decrittografato è lo script Downloader PS, che prima scarica il file binario dell'agente Tesla da un server remoto e quindi lo esegue con privilegi amministrativi eseguendo un bypass UAC con CMSTP.
Il builder utilizza anche tecniche come esche, prompt UAC e PowerShell in memoria per eseguire il payload finale. Sono tutti costantemente aggiornati, quindi è un service pack degli sviluppatori di malware.
Pacchetto di servizi per partner criminali informatici
Gli attori delle minacce evolvono costantemente le loro tattiche utilizzando software come i "costruttori" di malware venduti sui pertinenti mercati del crimine informatico del web oscuro. La campagna dell'agente Tesla è l'ultima di una serie di attività strutturate in modo simile che hanno utilizzato Quantum Builder per creare payload dannosi in campagne anti-organizzazione. Le tecniche utilizzate vengono regolarmente aggiornate dagli sviluppatori di malware e adattate ai nuovi meccanismi di sicurezza.
Altro su Zscaler.com
A proposito di Zscaler Zscaler accelera la trasformazione digitale in modo che i clienti possano diventare più agili, efficienti, resilienti e sicuri. Zscaler Zero Trust Exchange protegge migliaia di clienti da attacchi informatici e perdita di dati collegando in modo sicuro persone, dispositivi e applicazioni ovunque. Zero Trust Exchange basato su SSE è la più grande piattaforma di sicurezza cloud in linea al mondo, distribuita in oltre 150 data center in tutto il mondo.