Một trình tạo phần mềm độc hại được phát hiện gần đây có tên là Quantum Builder đang được sử dụng để cung cấp trojan truy cập từ xa Agent Tesla (RAT).
Các nhà nghiên cứu Niraj Shivtarkar và Avinash Kumar của Zscaler ThreatLabz cho biết: “Chiến dịch này có các cải tiến và sự thay đổi đối với các tệp LNK (phím tắt Windows) khi so sánh với các cuộc tấn công tương tự trong quá khứ”.
Được bán trên dark web với giá € 189 một tháng, Quantum Builder là một công cụ có thể tùy chỉnh để tạo các tệp lối tắt độc hại cũng như các tải trọng HTA, ISO và PowerShell để phân phối phần mềm độc hại ở giai đoạn tiếp theo trên các máy được nhắm mục tiêu, trong trường hợp này là Agent Tesla.
Chuỗi tấn công nhiều giai đoạn bắt đầu với một trò lừa đảo trực tuyến chứa tệp đính kèm lưu trữ GZIP bao gồm một phím tắt được thiết kế để thực thi mã PowerShell chịu trách nhiệm khởi chạy ứng dụng HTML từ xa (HTA) bằng MSHTA.
Các email lừa đảo có mục đích là một thông báo xác nhận đơn đặt hàng từ một nhà cung cấp đường cục và đường phèn của trung quốc, với tệp LNK giả mạo là tài liệu PDF.
Đến lượt mình, tệp HTA sẽ giải mã và thực thi một tập lệnh trình tải PowerShell khác, tập lệnh này hoạt động như một trình tải xuống để tìm nạp phần mềm độc hại Agent Tesla và thực thi nó với các đặc quyền quản trị.
Trong biến thể thứ hai của chuỗi lây nhiễm, tệp lưu trữ GZIP được thay thế bằng tệp ZIP, đồng thời áp dụng các chiến lược làm nhiễu loạn khác để ngụy trang hoạt động độc hại.
Quantum Builder đã chứng kiến sự gia tăng về việc sử dụng trong những tháng gần đây, với những kẻ đe dọa sử dụng nó để phát tán nhiều loại phần mềm độc hại, chẳng hạn như RedLine Stealer, IcedID, GuLoader, RemcosRAT và AsyncRAT.
Các nhà nghiên cứu cho biết: “Những kẻ đe dọa đang liên tục phát triển các chiến thuật của họ và sử dụng các phần mềm tạo phần mềm độc hại được bán trên thị trường tội phạm mạng”.
“Chiến dịch Agent Tesla này là chiến dịch mới nhất trong một chuỗi các cuộc tấn công trong đó Quantum Builder đã được sử dụng để tạo ra các tải trọng độc hại trong các chiến dịch chống lại các tổ chức khác nhau.”
.
