Se está utilizando un generador de malware recientemente descubierto llamado Quantum Builder para entregar el troyano de acceso remoto (RAT) Agent Tesla.
«Esta campaña presenta mejoras y un cambio hacia los archivos LNK (acceso directo de Windows) en comparación con ataques similares en el pasado», los investigadores de Zscaler ThreatLabz, Niraj Shivtarkar y Avinash Kumar. dijo en un artículo del martes.
Quantum Builder, que se vende en la web oscura por 189 € al mes, es una herramienta personalizable para generar archivos de acceso directo maliciosos, así como cargas útiles HTA, ISO y PowerShell para entregar malware de próxima etapa en las máquinas objetivo, en este caso Agent Tesla.
La cadena de ataque de varias etapas comienza con un spear-phishing que contiene un archivo adjunto GZIP que incluye un acceso directo diseñado para ejecutar el código de PowerShell responsable de iniciar una aplicación HTML remota (HTA) usando MSHTA.
Los correos electrónicos de phishing pretenden ser un mensaje de confirmación de pedido de un proveedor chino de terrones y azúcar en roca, con el archivo LNK disfrazado de documento PDF.
El archivo HTA, a su vez, descifra y ejecuta otro script de carga de PowerShell, que actúa como un descargador para obtener el malware Agent Tesla y ejecutarlo con privilegios administrativos.
En una segunda variante de la secuencia de infección, el archivo GZIP se reemplaza por un archivo ZIP, al mismo tiempo que se adoptan más estrategias de ofuscación para camuflar la actividad maliciosa.
Quantum Builder ha sido testigo de un aumento en el uso en los últimos meses, con actores de amenazas que lo utilizan para distribuir una variedad de malware, como RedLine Stealer, IcedID, GuLoader, RemcosRAT y AsyncRAT.
«Los actores de amenazas evolucionan continuamente sus tácticas y hacen uso de los creadores de malware que se venden en el mercado del delito cibernético», dijeron los investigadores.
«Esta campaña del Agente Tesla es la última de una serie de ataques en los que se ha utilizado Quantum Builder para crear cargas maliciosas en campañas contra varias organizaciones».