Los investigadores han puesto al descubierto una campaña que difunde el popular registrador de teclas basado en DotNET y RAT, conocido como Agente Tesla. Este ladrón de información se está propagando a través de Quantum Builder, el cual se vende en la dark web. Los investigadores de Zscaler revelaron que los atacantes usan Quantum Builder […]
Los investigadores han puesto al descubierto una campaña que difunde el popular registrador de teclas basado en DotNET y RAT, conocido como Agente Tesla.
Este ladrón de información se está propagando a través de Quantum Builder, el cual se vende en la dark web.
Los investigadores de Zscaler revelaron que los atacantes usan Quantum Builder para crear cargas maliciosas de LNK, HTA y PowerShell para el Agente Tesla.
Las cargas útiles emplean técnicas sofisticadas como LOLBins, señuelos, indicaciones de UAC y PowerShell en memoria para ejecutar la carga útil final. Estas técnicas son actualizadas periódicamente por los desarrolladores.
Posteriormente, los scripts de PowerShell en memoria son descifrados por el archivo HTA creado por Quantum Builder para realizar la omisión de UAC. Se realiza a través de CMSTP para ejecutar la carga útil final (Agente Tesla) con derechos de administrador.
La cadena de infección comienza con un correo electrónico de phishing selectivo, que incluye un archivo LNK cargado con un archivo GZIP. Tras la ejecución, un código de PowerShell hace que MSHTA ejecute el archivo HTA alojado en el servidor remoto.
El archivo HTA descifra un script de carga de PowerShell que descifra y carga otro script de PowerShell después de realizar el descifrado AES y la descompresión GZIP.
El script descifrado es el Downloader PS Script que primero descarga el binario del Agente Tesla desde un servidor remoto. Más tarde, se ejecuta con privilegios de administrador realizando UAC Bypass usando CMSTP.
Esta campaña que entrega Agent Tesla es la última en la lista de amenazas de malware que utilizan Quantum Builder para pasar desapercibidas. Anteriormente, Emotet, Bumblebee, Qbot e IcedID han sido vistos adoptando la táctica. Los desarrolladores continúan esforzándose para que este malware sea más eficiente.
Actores maliciosos están utilizando una técnica de ejecución de código novedosa que utiliza los movimientos del mouse en las presentaciones de Microsoft PowerPoint para activar scripts de PowerShell.