O Quantum Builder é oferecido na Dark Web e várias variantes do Remote Access Trojan (RAT) Agent Tesla são distribuídas. No geral, o malware depende de arquivos LNK (atalhos do Windows) para espalhar o Trojan. Existe até um pacote de serviços para parceiros criminosos cibernéticos.
O Agent Tesla, um keylogger baseado em .NET e um trojan de acesso remoto (RAT) desde 2014, está atualmente sendo distribuído por meio de um construtor vendido na Dark Web chamado "Quantum Builder". Pesquisadores de segurança da equipe Zscaler ThreatlabZ examinaram a campanha atual e identificaram uma evolução. Os autores de malware agora contam com arquivos LNK (atalhos do Windows) para proliferar a carga útil, que o Quantum Builder (também conhecido como "Quantum Lnk Builder") é usado para criar. O construtor já foi comprovado em campanhas vinculadas ao RedLine Stealer, IcedID, GuLoader, RemcosRAT e AsyncRAT.
Atalhos maliciosos do Windows – LNKs
Na campanha atual, os agentes de ameaças usam o Quantum Builder para gerar cargas maliciosas de LNK, HTA e PowerShell, que o Agente Tesla então envia para as máquinas visadas. As cargas geradas pelo construtor usam técnicas sofisticadas, como desvio de UAC usando o binário CMSTP (Microsoft Connection Manager Profile Installer) para executar a carga final com privilégios administrativos e ignorar o Windows Defender. É utilizada uma cadeia de infecção de vários estágios, que integra vários vetores de ataque com LOLBins. Para ignorar a detecção, os scripts do PowerShell são executados na memória. Além disso, as vítimas são distraídas da infecção por várias manobras enganosas.
Comece com e-mail de spear phishing
A cadeia de infecção começa com um e-mail de spear phishing contendo um arquivo LNK na forma de um arquivo GZIP. Depois de executar o arquivo LNK, o código incorporado do PowerShell chama o MSHTA, que executa o arquivo HTA hospedado no servidor remoto. O arquivo HTA descriptografa um script de carregador do PowerShell, que descriptografa e carrega outro script do PowerShell após executar uma descriptografia AES e descompactação GZIP. O script descriptografado do PowerShell é o script Downloader PS, que primeiro baixa o binário do Agent Tesla de um servidor remoto e, em seguida, o executa com privilégios administrativos executando um desvio de UAC com CMSTP.
O construtor também usa técnicas como chamarizes, prompts UAC e PowerShell na memória para executar a carga útil final. Eles são todos atualizados constantemente, portanto, é um service pack dos desenvolvedores de malware.
Pacote de serviços para parceiros criminosos cibernéticos
Os agentes de ameaças estão constantemente evoluindo suas táticas usando software como "criadores" de malware vendidos em mercados relevantes de crimes cibernéticos da dark web. A campanha Agent Tesla é a mais recente de uma série de atividades estruturadas de forma semelhante que usaram o Quantum Builder para criar cargas maliciosas em campanhas antiorganizacionais. As técnicas utilizadas são atualizadas regularmente pelos desenvolvedores de malware e adaptadas aos novos mecanismos de segurança.
Mais em Zscaler.com
Sobre Zscaler O Zscaler acelera a transformação digital para que os clientes possam se tornar mais ágeis, eficientes, resilientes e seguros. O Zscaler Zero Trust Exchange protege milhares de clientes contra ataques cibernéticos e perda de dados, conectando com segurança pessoas, dispositivos e aplicativos em qualquer lugar. O Zero Trust Exchange baseado em SSE é a maior plataforma de segurança em nuvem em linha do mundo, distribuída em mais de 150 data centers em todo o mundo.