Un constructeur de logiciels malveillants récemment découvert appelé Quantum Builder est utilisé pour fournir le cheval de Troie d’accès à distance (RAT) Agent Tesla.
« Cette campagne présente des améliorations et une évolution vers les fichiers LNK (raccourci Windows) par rapport aux attaques similaires du passé », ont déclaré Niraj Shivtarkar et Avinash Kumar, chercheurs de Zscaler ThreatLabz. a dit dans un article du mardi.
Vendu sur le dark web pour 189 € par mois, Quantum Builder est un outil personnalisable permettant de générer des fichiers de raccourcis malveillants ainsi que des charges utiles HTA, ISO et PowerShell pour diffuser des logiciels malveillants de niveau supérieur sur les machines ciblées, en l’occurrence l’agent Tesla.
La chaîne d’attaque en plusieurs étapes commence par un spear-phishing contenant une pièce jointe d’archive GZIP qui comprend un raccourci conçu pour exécuter le code PowerShell responsable du lancement d’une application HTML distante (HTA) à l’aide de MSHTA.
Les e-mails de phishing prétendent être un message de confirmation de commande d’un fournisseur chinois de sucre en morceaux et de roche, le fichier LNK se faisant passer pour un document PDF.
Le fichier HTA, à son tour, décrypte et exécute un autre script de chargeur PowerShell, qui agit comme un téléchargeur pour récupérer le logiciel malveillant Agent Tesla et l’exécuter avec des privilèges administratifs.
Dans une deuxième variante de la séquence d’infection, l’archive GZIP est remplacée par un fichier ZIP, tout en adoptant d’autres stratégies d’obscurcissement pour camoufler l’activité malveillante.
Quantum Builder a connu une augmentation de son utilisation ces derniers mois, les acteurs de la menace l’utilisant pour distribuer une variété de logiciels malveillants, tels que RedLine Stealer, IcedID, GuLoader, RemcosRAT et AsyncRAT.
« Les acteurs de la menace font continuellement évoluer leurs tactiques et utilisent des créateurs de logiciels malveillants vendus sur le marché de la cybercriminalité », ont déclaré les chercheurs.
« Cette campagne Agent Tesla est la dernière d’une série d’attaques dans lesquelles Quantum Builder a été utilisé pour créer des charges utiles malveillantes dans des campagnes contre diverses organisations. »