Исследователи Zscaler обнаружили в даркнете свежий билдер вредоносного ПО под названием Quantum

Чт 29 Сентябрь 2022 05:58

По словам специалистов из Zscaler ThreatLabz, билдер предоставляется по подписке: 189 евро в месяц. За эту сумму злоумышленники получают гибко настраиваемый инструмент для создания вредоносных LNK-файлов, а также полезных нагрузок HTA, ISO и PowerShell, с помощью которых вредоносное ПО попадает на устройства жертв.

Многоступенчатая цепочка атак выглядит так:

Жертве приходит фишинговое письмо с вложением в виде GZIP-архива, внутри которого находится LNK-файл, необходимый для запуска PowerShell-скрипта, отвечающего за запуск удаленного HTML-приложения (HTA) с помощью MSHTA. Обычно злоумышленники пытаются выдать себя за китайских поставщиков сахара, а LNK-файл маскируют под PDF-документ.

HTA расшифровывается и запускает другой PowerShell-скрипт;

Скрипт развертывает вредоноса (в данном случае троян Agent Tesla) с правами администратора в системе жертвы.

Во втором варианте этой цепочки атак GZIP-архив заменяется на ZIP-архив, а также появляются дополнительные методы обфускации, необходимые для маскировки вредоносной активности.

Исследователи предупреждают, что в последние месяцы наблюдается рост популярности билдера Quantum. Злоумышленники активно используют его для распространения множества популярных вредоносов: RedLine Stealer, IcedID, GuLoader, RemcosRAT и AsyncRAT.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 253 дня 20 часов 23 минуты 5 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.