Исследователи Zscaler обнаружили в даркнете свежий билдер вредоносного ПО под названием Quantum

По словам специалистов из Zscaler ThreatLabz, билдер предоставляется по подписке: 189 евро в месяц. За эту сумму злоумышленники получают гибко настраиваемый инструмент для создания вредоносных LNK-файлов, а также полезных нагрузок HTA, ISO и PowerShell, с помощью которых вредоносное ПО попадает на устройства жертв. Эксперты со средней степенью уверенности связывают билдер с APT Lazarus из-за одинаковых тактик, техник и процедур, а также совпадений, обнаруженных в исходном коде.

Многоступенчатая цепочка атак выглядит так:

• Жертве приходит фишинговое письмо с вложением в виде GZIP-архива, внутри которого находится LNK-файл, необходимый для запуска PowerShell-скрипта, отвечающего за запуск удаленного HTML-приложения (HTA) с помощью MSHTA. Обычно злоумышленники пытаются выдать себя за китайских поставщиков сахара, а LNK-файл маскируют под PDF-документ.

• HTA расшифровывается и запускает другой PowerShell-скрипт;

• Скрипт развертывает вредоноса (в данном случае троян Agent Tesla) с правами администратора в системе жертвы.

Во втором варианте этой цепочки атак GZIP-архив заменяется на ZIP-архив, а также появляются дополнительные методы обфускации, необходимые для маскировки вредоносной активности.

Исследователи предупреждают, что в последние месяцы наблюдается рост популярности билдера Quantum. Злоумышленники активно используют его для распространения множества популярных вредоносов: RedLine Stealer, IcedID, GuLoader, RemcosRAT и AsyncRAT.