恶意软件构建器Quantum Builder激增,被用于投递远控木马

网络犯罪分子使用量子建筑商在黑网上出售的量子构建器来提供特斯拉恶意软件

在最近的网络安全研究中,发现了一种名为 Quantum Builder 的恶意软件构建器,被用于构建 Agent Tesla 远程访问木马 (RAT)。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,与过去类似的攻击活动相比,这次攻击活动的特点是增强并转向 LNK 文件 Windows 快捷方式的利用。

Quantum Builder 恶意软件构建器在暗网上以每月 189 欧元的价格出售,它是一种可定制的工具,用于生成恶意快捷方式文件以及 HTA、ISO 和 PowerShell 有效攻击负载,以在目标机器上投递下一阶段的恶意软件。

多阶段攻击链从包含 GZIP 压缩文件的鱼叉式网络钓鱼邮件开始,该附件包含一个快捷方式,旨在执行负责使用MSHTA启动远程 HTML 应用程序 (HTA) 的 PowerShell 代码。

网络犯罪分子使用量子建筑商在黑网上出售的量子构建器来提供特斯拉恶意软件

这些网络钓鱼邮件中 LNK 快捷方式文件伪装成 PDF 文档。HTA 文件解密并执行另一个 PowerShell 加载程序脚本,该脚本充当下载器,用于获取 Agent Tesla 恶意软件并以管理权限执行它。

在感染序列的第二种变体中,GZIP 压缩文件被 ZIP 压缩文件替换,同时还采用了进一步的混淆策略来隐藏恶意行为。

安全研究观察中发现,最近几个月 Quantum Builder 的使用量激增,大量黑客组织使用它来分发各种恶意软件。

 

恶意软件构建器Quantum Builder激增,被用于投递远控木马

极牛网精选文章《恶意软件构建器Quantum Builder激增,被用于投递远控木马》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/21122.html

(26)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2022年9月26日 上午11:06
下一篇 2022年9月30日 上午11:18

相关推荐

发表回复

登录后才能评论