29/09/22
По словам специалистов из Zscaler ThreatLabz, билдер предоставляется по подписке за 189 евро в месяц. За эту сумму злоумышленники получают гибко настраиваемый инструмент для создания вредоносных LNK-файлов, а также полезных нагрузок HTA, ISO и PowerShell, с помощью которых вредоносное ПО попадает на устройства жертв.
Эксперты со средней степенью уверенности связывают билдер с APT Lazarus из-за одинаковых тактик, техник и процедур, а также совпадений, обнаруженных в исходном коде, пишет Securitylab.
Многоступенчатая цепочка атак выглядит так:
- Жертве приходит фишинговое письмо с вложением в виде GZIP-архива, внутри которого находится LNK-файл, необходимый для запуска PowerShell-скрипта, отвечающего за запуск удаленного HTML-приложения (HTA) с помощью MSHTA. Обычно злоумышленники пытаются выдать себя за китайских поставщиков сахара, а LNK-файл маскируют под PDF-документ.
- HTA расшифровывается и запускает другой PowerShell-скрипт;
- Скрипт развертывает вредоноса (в данном случае троян Agent Tesla) с правами администратора в системе жертвы.
Во втором варианте этой цепочки атак GZIP-архив заменяется на ZIP-архив, а также появляются дополнительные методы обфускации, необходимые для маскировки вредоносной активности.
Исследователи предупреждают, что в последние месяцы наблюдается рост популярности билдера Quantum. Злоумышленники активно используют его для распространения множества популярных вредоносов: RedLine Stealer, IcedID, GuLoader, RemcosRAT и AsyncRAT.
