Quantum-Builder verbreitet den Remote-Access-Trojaner Agent-Tesla

Agent-Tesla, ein seit 2014 auf .NET-basierter Keylogger und Fernzugriffstrojaner (RAT), wird aktuell über einen im Dark-Web verkauften Builder namens „Quantum Builder“ verbreitet.  Die Sicherheitsforscher des Zscaler-ThreatlabZ-Teams haben die aktuelle Kampagne untersucht und eine Weiterentwicklung festgestellt. Die Malware-Autoren setzen nun auf LNK-Dateien (Windows-Verknüpfungen) zur Verbreitung der Payload, für deren Erstellung Quantum-Builder (auch bekannt als „Quantum Lnk Builder“) verwendet wird. Der Builder wurde bereits bei Kampagnen in Verbindung mit dem „RedLine Stealer“, „IcedID“, „GuLoader“, dem „RemcosRAT“ und dem „AsyncRAT“ nachgewiesen.

In der aktuellen Kampagne verwenden die Bedrohungsakteure Quantum-Builder, um bösartige LNK-, HTA- und PowerShell-Nutzdaten zu generieren, die dann Agent-Tesla auf die Zielcomputer übertragen. Die vom Builder generierten Payloads verwenden ausgefeilte Techniken wie die Umgehung der Benutzerkontensteuerung mit der Microsoft-Connection-Manager-Profile-Installer (CMSTP) -Binärdatei, um die endgültige Payload mit administrativen Rechten auszuführen und Windows-Defender zu umgehen. Es kommt eine mehrstufige Infektionskette zum Einsatz, die verschiedene Angriffsvektoren mit „LOLBins“ integriert. Um die Erkennung zu umgehen, werden Powershell-Skripts im Arbeitsspeicher ausgeführt. Darüber hinaus werden die Opfer durch unterschiedliche Täuschungsmanöver von der Infektion abgelenkt.

Die Infektionskette beginnt mit einer Spear-Phishing-E-Mail, die eine LNK-Datei in Form eines GZIP-Archivs enthält. Nach der Ausführung der LNK-Datei ruft der eingebettete Powershell-Code MSHTA auf, der die auf dem Remote-Server gehostete HTA-Datei ausführt. Die HTA-Datei entschlüsselt dann ein Powershell-Loader-Skript, das ein weiteres Powershell-Skript entschlüsselt und lädt, nachdem es eine AES-Entschlüsselung und GZIP-Dekomprimierung durchgeführt hat. Das entschlüsselte Powershell-Skript ist das Downloader-PS-Skript, das zunächst die Agent-Tesla-Binärdatei von einem Remote-Server herunterlädt und sie dann mit administrativen Rechten ausführt, indem es eine UAC-Umgehung mit CMSTP durchführt.

Der Builder verwendet außerdem Techniken wie Decoys, UAC-Prompts und In-Memory-Powershell, um die endgültige Payload auszuführen. Sie alle werden immer wieder aktualisiert, es handelt sich also um ein Servicepaket der Malware-Entwickler.

Bedrohungsakteure entwickeln ihre Taktiken ständig weiter und nutzen dafür Software wie Malware-„Builder“, die auf einschlägigen Cybercrime-Marktplätzen im Darknet verkauft werden. Die Agent-Tesla-Kampagne ist die jüngste einer Reihe von ähnlich aufgebauten Aktivitäten, bei denen Quantum-Builder zur Erstellung bösartiger Nutzdaten in Kampagnen gegen Organisationen verwendet wurde. Die eingesetzten Techniken werden von den Malware-Entwicklern regelmäßig aktualisiert und an die neuen Sicherheitsmechanismen angepasst.

Info: Die technische Analyse der Kampagne lässt sich auf dem ThreatLabZ-Blog nachlesen.

#Zscaler