Yakın zamanda keşfedilen bir kötü amaçlı yazılım oluşturucu olan Quantum Builder, Agent Tesla uzaktan erişim truva atını (RAT) sağlamak için kullanılıyor.

Zscaler ThreatLabz araştırmacıları Niraj Shivtarkar ve Avinash Kumar, “Bu kampanya, geçmişteki benzer saldırılarla karşılaştırıldığında geliştirmeler ve LNK (Windows kısayolu) dosyalarına geçiş içeriyor.” söz konusu Salı yazısında.

Dark web’de ayda 189 €’ya satılan Quantum Builder, kötü amaçlı kısayol dosyalarının yanı sıra HTA, ISO ve PowerShell yükleri oluşturmak için özelleştirilebilir bir araçtır ve hedeflenen makinelerde bir sonraki aşama kötü amaçlı yazılımı, bu durumda Ajan Tesla’yı sunar.

Çok aşamalı saldırı zinciri, uzak bir HTML uygulamasını (HTA) başlatmaktan sorumlu PowerShell kodunu yürütmek için tasarlanmış bir kısayol içeren bir GZIP arşiv eki içeren bir hedef odaklı kimlik avı ile başlar. MSHTA.

Kimlik avı e-postaları, Çinli bir parça ve akide şekeri tedarikçisinden gelen bir sipariş onay mesajı gibi görünüyor ve LNK dosyası bir PDF belgesi görünümünde.

HTA dosyası, sırayla, Agent Tesla kötü amaçlı yazılımını almak ve onu yönetici ayrıcalıklarıyla yürütmek için bir indirici görevi gören başka bir PowerShell yükleyici betiğinin şifresini çözer ve yürütür.

Bulaşma dizisinin ikinci bir çeşidinde, GZIP arşivi bir ZIP dosyasıyla değiştirilirken, aynı zamanda kötü amaçlı etkinliği kamufle etmek için daha fazla gizleme stratejileri de benimsenir.

Quantum Builder, RedLine Stealer, IcedID, GuLoader, RemcosRAT ve AsyncRAT gibi çeşitli kötü amaçlı yazılımları dağıtmak için kullanan tehdit aktörleri ile son aylarda kullanımda bir artışa tanık oldu.

Araştırmacılar, “Tehdit aktörleri, taktiklerini sürekli olarak geliştiriyor ve siber suç pazarında satılan kötü amaçlı yazılım oluşturuculardan yararlanıyor” dedi.

“Bu Ajan Tesla kampanyası, Quantum Builder’ın çeşitli kuruluşlara karşı kampanyalarda kötü niyetli yükler oluşturmak için kullanıldığı bir dizi saldırının en sonuncusu.”



siber-2