Quantum Builder пропонується в Dark Web і поширюються різні варіанти трояна віддаленого доступу (RAT) Agent Tesla. Загалом для поширення трояна зловмисне програмне забезпечення покладається на файли LNK (ярлики Windows). Є навіть пакет послуг для кіберзлочинців-партнерів.
Agent Tesla, кейлоггер на основі .NET і троян віддаленого доступу (RAT) з 2014 року, наразі поширюється через конструктор, який продається в Dark Web під назвою «Quantum Builder». Дослідники безпеки з команди Zscaler ThreatlabZ дослідили поточну кампанію та виявили еволюцію. Автори зловмисного програмного забезпечення тепер покладаються на файли LNK (ярлики Windows) для поширення корисного навантаження, для створення якого використовується Quantum Builder (він же «Quantum Lnk Builder»). Конструктор уже перевірено в кампаніях, пов’язаних із RedLine Stealer, IcedID, GuLoader, RemcosRAT і AsyncRAT.
Шкідливі ярлики Windows – LNK
У поточній кампанії зловмисники використовують Quantum Builder для створення шкідливих корисних навантажень LNK, HTA і PowerShell, які Agent Tesla потім надсилає на цільові комп’ютери. Корисні навантаження, створені розробником, використовують складні методи, такі як обхід UAC за допомогою двійкового файлу Microsoft Connection Manager Profile Installer (CMSTP), щоб запустити остаточне корисне навантаження з правами адміністратора та обійти Windows Defender. Використовується багатоетапний ланцюг зараження, який об’єднує різні вектори атак із LOLBins. Щоб обійти виявлення, сценарії PowerShell запускаються в пам’яті. Крім того, жертви відволікаються від інфекції різними обманними прийомами.
Почніть із фішингового електронного листа
Ланцюжок зараження починається з фішингового електронного листа, що містить файл LNK у формі архіву GZIP. Після виконання файлу LNK вбудований код PowerShell викликає MSHTA, який запускає файл HTA, розміщений на віддаленому сервері. Потім файл HTA розшифровує сценарій завантажувача PowerShell, який розшифровує та завантажує інший сценарій PowerShell після виконання розшифровки AES і декомпресії GZIP. Розшифрований сценарій PowerShell — це сценарій Downloader PS, який спочатку завантажує двійковий файл Agent Tesla з віддаленого сервера, а потім запускає його з правами адміністратора, виконуючи обхід UAC за допомогою CMSTP.
Конструктор також використовує такі методи, як приманки, підказки UAC і PowerShell у пам’яті для запуску остаточного корисного навантаження. Усі вони постійно оновлюються, тому це сервіс-пак від розробників шкідливих програм.
Пакет послуг для кіберзлочинців-партнерів
Зловмисники постійно вдосконалюють свою тактику, використовуючи таке програмне забезпечення, як «конструктори» зловмисного програмного забезпечення, які продаються на відповідних темних ринках кіберзлочинності. Кампанія Agent Tesla є останньою в серії подібно структурованих заходів, які використовували Quantum Builder для створення зловмисних корисних навантажень у кампаніях боротьби з організаціями. Використовувані методики регулярно оновлюються розробниками шкідливих програм і адаптуються до нових механізмів безпеки.
Більше на Zscaler.com
Про Zscaler Zscaler прискорює цифрову трансформацію, щоб клієнти могли стати більш гнучкими, ефективними, стійкими та безпечними. Zscaler Zero Trust Exchange захищає тисячі клієнтів від кібератак і втрати даних, безпечно підключаючи людей, пристрої та програми будь-де. Zero Trust Exchange на базі SSE є найбільшою у світі вбудованою хмарною платформою безпеки, розподіленою в понад 150 центрах обробки даних по всьому світу.